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前 言 


微软 公司 推出 的 Windows 操作 系统 产品 以 其 易 用 性 和 庞大 的 第 三 方 软件 支撑 体系 , 占据 
了 绝对 的 市 场 份额 , 拥有 庞大 的 用 户 群 。 新 的 网 络 服务 器 操作 系统 Windows Server 2008 继承 
了 Windows 系列 产品 的 优势 ,并 大 大 扩充 了 其 功能 ， 强 化 了 包括 稳定 性 和 安全 性 在 内 的 系统 
性 能 ， 受 到 了 服务 器 系统 管理 人 员 的 欢迎 。 

全 书 共 分 为 15 章 ， 按 照 内 容 之 间 的 关系 依次 介绍 了 Windows Server 2008 操作 系统 的 各 
个 主要 功能 ， 利 用 这 些 功 能 ， 可 以 架设 起 多 种 功能 的 服务 器 系统 ， 提 供 完 备 的 网 络 服务 。 

各 章 的 主要 内 容 如 下 : 

第 1 章 介绍 了 Windows Server 2008 的 安装 和 初步 使 用 。 主 要 包括 Windows Server 2008 
的 概述 、 安 装 、 初 步 使 用 、 基 本 的 配置 和 管理 、 启 动 故障 排除 。 

第 2 章 介绍 了 Windows Server 2008 的 文件 服务 配置 和 管理 。 主 要 包括 Windows Server 
2008 的 文件 服务 与 资源 共享 、NTFS 权限 、 磁 盘 配 额 与 分 布 式 文件 系统 。 

第 3 章 介绍 了 Windows Server 2008 的 信息 共享 服务 (WSS) 配 置 和 管理 。 主 要 包括 安装 
WSS 服务 、 管 理 WSS 站 点 与 使 用 WSS 模板 。 

第 4 章 介 绍 了 Windows Server 2008 的 DNS 服务 配置 和 管理 。 主 要 包括 DNS 服务 概述 、 
安装 、 配 置 与 管理 、 安 装 辅助 DNS 服务 器 。 

第 5 章 介绍 了 Windows Server 2008 的 活动 目录 服务 配置 和 管理 。 主 要 包括 活动 目录 概 
述 、 活 动 目录 的 安装 、 配 置 与 删除 、 用 户 与 组 的 管理 、Windows 计算 机 加 入 域 、 登 录 域 、 脱 
离 域 、 组 策略 及 应 用 。 

第 6 章 介绍 了 Windows Server 2008 的 证 书 服务 配置 和 管理 。 主 要 包括 电子 证 书 服务 、 
企业 CA 的 安装 与 使 用 。 

第 7 章 介绍 了 Windows Server 2008 的 DHCP 服务 配置 和 管理 。 主 要 包括 DHCP 服务 概 
述 、 安 装 DHCP 服务 器 、 DHCP 服务 器 的 设置 、 DHCP 服务 器 的 维护 与 DHCP 客户 端的 配置 。 

第 8 章 介绍 了 Windows Server 2008 的 Web 服务 配置 和 管理 。 主要 包括 Web 服务 的 搭建 
与 配置 、Web 服务 器 的 管理 、 搭 建 SSL Web 网 站 。 

第 9 章 介绍 了 Windows Server 2008 的 FTP 服务 配置 和 管理 。 主 要 包括 FTP 服务 器 的 搭 
建 与 配置 、 为 FTP 设置 NTFS 访问 权限 、 虚 拟 站 点 与 虚拟 目录 、FTP 站 点 的 访问 安全 和 FTP 
站 点 的 访问 。 

第 10 章 介绍 了 Windows Server 2008 的 邮件 服务 配置 和 管理 。 主 要 包括 Exchange Server 
2007 概述 、 安 装 Exchange Server 2007、 使 用 Exchange 管理 控制 台 建立 用 户 邮箱 、 客 户 端的 
使 用 、 配 置 面向 ntemet 的 集线器 传输 服务 器 、 邮 箱 常用 操作 和 限制 。 

第 11 章 介绍 了 Windows Server 2008 的 流 媒 体 服 务 配 置 和 管理 。 主 要 包括 流 媒体 服务 的 
安装 、 实 现 点 播 和 广播 。 
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第 12 章 介绍 了 Windows Server 2008 的 终端 服务 器 配置 与 管理 。 主 要 包括 部 署 终端 服务 
器 、 部 署 终 端 服务 的 客户 端 、 部 署 终 端 服务 应 用 程序 、 配 置 客户 端的 应 用 环境 和 在 客户 端 计 
算 机 访问 TS 服务 器 上 的 应 用 程序 。 

第 13 章 介 绍 了 Windows Server 2008 的 代理 服务 器 配置 与 管理 。 主 要 包括 Foreffont TMG 
概述 、 安 装 与 配置 、 客 户 端 代 理 上 网 的 设置 。 

第 14 章 介绍 了 Windows Server 2008 的 安全 防护 配置 与 管理 。 主 要 包括 系统 更 新 配置 、 
防火 墙 配置 、 防 病毒 配置 、 防 间谍 配置 。 

第 15 章 是 将 以 上 各 种 Windows Server 2008 技术 进行 综合 应 用 的 一 个 案例 。 主 要 包括 网 
络 结构 设计 与 连接 以 及 主机 系统 配置 。 

本 书 的 特色 主要 有 : 

(1) 内 容 丰 富 ， 阐 述 详尽 ， 强 化 应 用 。 本 书 作者 来 自 网 络 操作 系统 教学 和 应 用 的 第 一 线 ， 
对 包括 Windows Server 2008 在 内 的 网 络 操作 系统 的 配置 与 管理 有 深入 的 理解 和 较为 丰富 的 
应 用 经 验 , 这 些 理解 和 经 验 贯穿 于 本 书 始 终 ; 在 介绍 Windows Server 2008 相关 技术 时 做 到 了 
围绕 应 用 、 详 尽 痔 述 。 

(2) 图 文 并 茂 , 易学 易 用 。 为 了 增强 可 理解 性 和 易学 易 用 性 , 各 章节 介绍 Windows Server 
2008 相关 技术 时 文字 简洁 清晰 ， 丰 富 的 插图 配合 文字 说 明 ， 章 始 有 导读 ， 章 末 有 小 结 ， 将 配 
置 和 管理 细节 叙述 得 清晰 、 完 整 。 

(3) 资源 配套 ， 便 于 教学 。 各 章 最 后 配 有 针对 性 的 思考 和 练习 题 ， 帮 助 读者 加 深 理 解 、 
学 以 致 用 ， 各 章 均 送 教学 课件 ， 便 于 教师 教学 。 

本 书 主要 面向 服务 器 系统 构建 和 管理 的 学 习 者 ， 适 合作 为 信息 类 专业 应 用 型 本 科学 生 的 
网 络 操作 系统 应 用 教程 ， 也 可 作为 该 课程 培训 班 的 培训 教材 、 高 等 院 校 教学 的 参考 书 ， 对 于 
服务 器 系统 管理 人 员 也 具有 较 高 的 参考 价值 。 

本 书 由 姚 青山 担任 主编 ， 确 定 本 书 的 编写 风格 、 写 作 思 路 和 内 容 结构 ， 完 成 组 稿 和 统 稿 
工作 ， 并 参与 了 部 分 章节 的 编写 工作 。 金 振 乾 编写 了 第 1 章 、 第 4 章 和 第 9 章 ; 谢 伟 增 编写 
了 第 2 章 和 第 3 章 ; 姚 青山 编写 了 第 5 章 、 第 13 章 、 第 14 章 和 第 15 章 ; 高 继 勋 编写 了 第 7 
章 和 第 12 章 ; 谷 春 英 编写 了 第 6 章 、 第 8 章 和 第 11 章 ; 宋 三 柱 编写 了 第 10 章 。 在 编写 过 程 
中 ， 清 华 大 学 出 版 社 给 予 了 大 力 支持 和 有 力 帮助 ， 同 时 ， 卫 琳 、 陶 永 才 、 张 宁 宁 、 任 国明 、 
贾 伟 伟 、 朱 居 正 、 张 龙 涛 、 景 京 、 周 梦 雪 、 代 琳 娜 、 王 冬 、 谢 涛 、 王 晓 慧 、 何 宗 真 、 李 文 洁 、 
王强 、 白 娟 等 参与 了 部 分 工作 ， 参 编 人 员 参 考 了 诸多 同仁 出 版 或 发 表 的 大 量 文献 和 资料 ， 在 
此 一 并 表示 感谢 。 

尽管 编者 在 多 个 方面 都 做 了 大 量 工作 ， 但 由 于 经 验 有 限 和 时 间 仓 促 ， 加 之 相关 技术 发 展 
日 新 月 异 ， 书 中 难免 有 不 尽 人 意 之 处 ， 还 恳请 广大 读者 不 将 赐教 ， 对 本 书 的 宝贵 意见 和 建议 
可 发 送 到 邮箱 huchenhao@263.net， 也 可 拨打 电话 010-62796045 。 


编 者 
2012 年 8 月 
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第 1 章 Windows Server 2008 
初步 使 用 


【本 章 导 读 】 

Windows Server 系列 操作 系统 是 微软 公司 开发 的 网 络 操作 系统 ,界面 直观 ,易学 易 用 ， 
是 中 小 型 网 络 服务 器 的 首选 操作 系统 .其 中 最 新 的 Windows Server 2008 更 是 在 前 作 的 基础 
上 做 了 大 刀 阔 径 的 修改 ， 无 论 是 功能 还 是 性 能 均 获得 了 极 大 的 提升 ， 在 安装 方式 、 使 用 方 
法 方面 有 了 较 大 改进 ， 在 安全 特性 上 有 明显 的 提高 。 本 章 着 重 介绍 了 Windows Server 2008 
的 新 特性 、 安 装 方法 、 配 置 操 作 和 常用 操作 。 通 过 本 章 的 学 习 ， 读 者 可 以 根据 实际 需要 选 
择 适 合 自己 的 版 本 , 恰当 的 安装 方式 , 并 能 进行 简单 的 操作 和 配置 ,为 进一步 设置 Windows 
Server 2008 服务 器 的 功能 、 提 高 服务 器 的 安全 性 、 处 理 运行 中 出 现 的 异常 情况 打下 基础 。 


1.1 系统 概述 


1.1.1 系统 简介 


Windows Server 2008 是 微软 公司 目前 所 开发 出 的 最 新 、 最 安全 、 性 能 最 好 的 网 络 操作 
系统 。 微软 公 司 在 已 经 大 获 成 功 的 Windows Server 2003 系列 网 络 操 作 系 统 的 基础 上 , 保留 
特色 功能 ， 取 消 用 户 不 甚 满意 的 部 分 ， 增 加 了 虚拟 化 等 新 功能 ， 并 强调 安全 性 和 易 用 性 ， 
开发 出 了 Windows Server 2008 系列 操作 系统 。 

Windows Server 2008 可 以 帮助 用 户 最 大 限度 地 控制 其 基础 结构 , 同时 提供 空前 的 可 用 
性 和 管理 功能 ， 使 用 户 可 以 建立 比 以 往 更 加 安全 、 可 靠 和 稳定 的 服务 器 环境 。Windows 
Server 2008 可 确保 处 于 任何 地 理 位 置 的 用 户 都 能 从 网 络 获取 完整 的 服务 , 从 而 为 组 织带 来 
新 的 价值 。Windows Server 2008 还 具有 对 操作 系统 深入 洞察 和 诊断 的 功能 , 使 管理 员 能 够 
将 更 多 的 时 间 用 于 创造 业务 价值 。 

Windows Server 2008 虽然 是 建立 在 优秀 的 Windows Server 2003 操作 系统 的 成 功 和 
实力 ， 以 及 Service Pack 1 和 Windows Server 2003 R2 中 采用 的 创新 技术 的 基础 之 上 的 ， 
但 是 ，Windows Server 2008 不 仅仅 是 先前 各 操作 系统 的 提炼 ，Windows Server 2008 虽 在 
为 组 织 提供 最 具 生 产 力 的 平台 ， 它 为 基础 操作 系统 提供 了 令 人 兴奋 的 许多 重要 新 功能 ， 并 
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促进 应 用 程序 、 网 络 和 Web 服务 从 工作 组 转向 数据 中 心 。 

除了 新 功能 之 外 , 与 Windows Server 2003 相 比 ,Windows Server 2008 还 对 基础 操作 
系统 进行 了 功能 改进 。 重 要 功能 改进 包括 : 对 网 络 、 高 级 安全 功能 、 远 程 应 用 程序 访问 、 
集中 式 服务 器 角色 管理 、 性 能 和 可 靠 性 监视 工具 ， 故 障 转移 群集 、 部 署 以 及 文件 系统 的 改 
进 。 上 述 功能 改进 和 其 他 改进 可 帮助 组 织 最 大 限度 地 提高 灵活 性 、 可 用 性 和 对 其 服务 器 的 
控制 。 


1.1.2 ”系统 的 新 特性 


Windows Server 2008 相 比 Windows 以 往 版 本 的 操作 系统 ， 增 加 了 很 多 新 特性 和 新 功 
能 。 其 中 主要 的 新 功能 有 以 下 5 点 。 


1. Server Core 模式 


这 是 相 比 以 前 Windows 各 版 本 操作 系统 最 大 的 变化 .Windows 系列 操作 系统 一 直 以 图 
形 用 户 界面 作为 自己 的 主要 特色 。 然 而 在 网 络 操作 系统 中 ， 图 形 用 户 界面 却 不 是 必须 的 ， 
甚至 是 会 产生 负面 影响 的 。 如 果 操 作 系统 采 用 图 形 用 户 界 面 ， 那 么 必须 有 许多 相关 程序 对 
其 进行 支持 ， 如 显卡 驱动 程序 ， 鼠 标 动作 的 监视 和 响应 程序 等 ， 在 提高 易 用 性 的 同时 ， 增 
加 了 系统 的 复杂 性 和 提高 了 对 计算 机 硬件 的 需求 ， 降 低 了 系统 响应 速度 ， 同 时 也 会 增加 系 
统 出 现 BUG 和 被 攻击 的 可 能 性 。Server Core 模式 取消 了 图 形 用 户 界面 ， 采 用 命令 行 对 系 
统 进行 配置 , 取消 了 和 网 络 服务 无 关 的 程序 和 功能 模块 , 提高 了 系统 的 运行 速度 和 安全 性 。 
对 于 普通 用 户 来 说 ， 计 算 机 操作 系统 的 易 用 性 是 第 一 位 的 ， 硬 件 性 能 及 其 利用 率 并 不 那么 
重要 ， 因 此 图 形 用 户 界面 对 普通 用 户 来 说 是 非常 重要 的 ， 对 于 网 络 管理 员 来 说 ， 网 络 操作 
系统 应 该 可 以 充分 发 挥 硬件 的 性 能 ， 提 高 使 用 率 ， 同 时 具有 较 高 的 安全 性 和 可 靠 性 ， 而 且 
网 络 管理 员 往 往 具 有 较 高 的 计算 机 应 用 水 平 ， 因 此 取消 图 形 用 户 界 面 、 采 用 Server Core 模 
式 对 于 服务 器 来 说 是 一 个 很 好 的 选择 。 

2. PowerShell 命令 行 


了 PowerShell 原来 是 Windows Vista 的 一 部 分 ， 但 当时 只 是 作为 免费 下 载 的 增强 附件 ， 
随后 又 成 了 Exchange Server 2007 的 关键 组 件 ， 接 下 来 又 是 Windows Server 2008 不 可 或 缺 
的 一 个 成 员 。 这 个 新 的 命令 行 工具 可 以 作为 图 形 界面 管理 的 补充 ， 甚 至 可 以 彻底 取代 图 形 
管理 界面 。 


3. 虚拟 化 技术 


微软 的 虚拟 化 技术 称 为 Hyper-V。 简 单 来 说 ， 操 作 系 统 方 面 的 虚拟 化 技术 就 是 一 种 在 
-个 计算 机 硬件 平台 上 同时 运行 多 个 操作 系统 的 技术 。 该 技术 可 以 在 不 过 分 降低 性 能 的 同 
时 充分 利用 计算 机 的 硬件 资源 ， 提 高 运行 效率 ， 提 高 可 靠 性 ， 同 时 不 增加 或 者 降低 成 本 。 
微软 公司 的 虚拟 化 技术 是 同时 支持 Intel 和 AMD 两 大 CPU 厂商 的 虚拟 化 技术 ， 因 此 即使 
在 不 同 的 平台 上 使 用 Windows Server 2008， 也 都 可 以 获得 上 佳 表现 。 
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4. 自修 复 NTFS 文件 系统 

该 功能 可 以 随时 发 现 采 用 NTFS 文件 系统 的 硬盘 空间 的 问题 并 加 以 修复 ， 而 且 不 需要 
像 以 前 的 操作 系统 那样 必须 重新 启动 才 可 以 完成 查 错 和 修复 ， 减 少 了 重启 次 数 ， 提 高 了 工 
作 效 率 。 

5. 增强 的 安全 性 


Windows Server 2008 提供 了 一 系列 新 的 和 改进 的 安全 技术 , 这 些 技 术 增 强 了 对 操作 系 
统 的 保护 ， 为 企业 发 布 Windows Server 2008 正式 版 的 运营 和 发 展 葛 定 了 坚实 的 基础 。 
Windows Server 2008 提供 了 减 小 内 核 攻击 面 的 安全 创新 ， 因 而 使 服务 器 环境 更 安全 、 更 稳 
定 。 通 过 保护 关键 服务 器 服务 使 之 免 受 文件 系统 、 注 册 表 或 网 络 中 异常 活动 的 影响 ， 
Windows 服务 强化 有 助 于 提高 系统 的 安全 性 。 借 助 网 络 访问 保护 NAP)、 只 读 域 控制 器 
(RODC)、 公 钥 基础 结构 (PKD 增 强 功能 、Windows 服务 强化 、 新 的 双向 Windows 防火 墙 和 
新 一 代 加 密 支 持 ，Windows Server 2008 操作 系统 中 的 安全 性 也 得 到 了 增强 。 


1.1.3 ”系统 版 本 


Windows Server 2008 有 标准 版 、 企 业 版 和 数据 中 心 版 三 大 系列 , 每 一 系列 均 根 据 所 支 
持 的 中 央 处 理 器 技术 的 不 同 ， 又 分 为 支持 32 位 CPU 和 支持 64 位 CPU 的 版 本 ， 可 以 满足 
不 同 用 户 和 硬件 平台 的 需求 ， 无 论 是 小 型 企业 用 户 ， 还 是 全 球 性 的 大 型 分 布 式 网 络 环境 ， 
均 可 以 找到 适合 的 版 本 。 针 对 Intel 公司 的 安 腾 (Itanium) 系 列 CPU， 还 有 专用 的 Windows 
Server 2008 安 腾 版 可 供 选择 。 此 外 还 有 3 个 不 支持 虚拟 化 技术 的 版 本 。 


1. Windows Server 2008 标准 版 


Windows Server 2008 标准 版 是 一 个 性 能 优异 、 可 靠 性 高 的 网 络 操作 系统 ， 可 以 快捷 、 
方便 地 提供 企业 解决 方案 ， 拥 有 强大 的 网 络 部 署 和 管控 功能 ， 能 够 为 用 户 节约 大 量 的 人 力 
和 财力 。Windows Server 2008 标准 版 主要 为 小 型 企业 和 部 门 应 用 而 设计 , 具备 了 大 多 数 网 
络 需要 的 基本 功能 ， 并 具有 全 能 的 Server Core 安装 选项 ， 通 常用 于 文件 和 打印 机 共享 、 
Internet 安全 连接 等 ， 允 许 集中 化 的 桌面 应 用 程序 部 署 。 

Windows Server 2008 32 位 标准 版 最 大 可 支持 4G 内 存 和 最 多 4 个 CPU 核心 ,而 64 位 
标准 版 最 大 可 支持 32G 内 存 。 


2. Windows Server 2008 企业 版 


Windows Server 2008 企业 版 是 为 了 满足 各 种 规模 的 企业 的 一 般 用 途 而 设计 , 是 一 种 全 
功能 的 网 络 操作 系统 ， 能 够 提供 高 度 可 靠 性 和 强大 的 性 能 ， 是 构建 各 种 应 用 程序 、Web 服 
务 器 和 基础 结构 的 理想 平台 。 企 业 版 在 功能 类 型 上 与 标准 版 基本 相同 ， 但 通过 支持 更 高 级 
的 硬件 系统 ， 可 以 提供 更 强大 的 性 能 ， 同 时 可 以 提供 更 加 优秀 的 可 伸缩 性 和 可 用 性 ， 增 加 
了 一 些 企业 及 应 用 的 支持 ， 如 Failover Clustering 与 活动 目录 联合 服务 等 。Windows Server 
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2008 企业 版 适用 于 更 大 规模 的 网 络 ， 支 持 更 多 数量 的 用 户 和 更 复杂 的 网 络 应 用 。 

Windows Server 2008 32 位 企业 版 最 大 可 支持 64G 内 存 和 最 多 8 个 CPU 核心 ， 而 64 
位 企业 版 最 高 可 以 支持 2T 内 存 。 

3. Windows Server 2008 数据 中 心 版 

Windows Server 2008 数据 中 心 版 是 为 运行 企业 和 任务 所 倚重 的 应 用 程序 而 设计 的 ,这 
些 应 用 程序 需要 最 高 的 可 伸缩 性 和 可 用 性 ， 是 微软 公司 所 有 操作 系统 中 功能 最 强大 的 。 
Windows Server 2008 32 位 数据 中 心 版 支持 最 大 64G 内 存 和 最 多 32 个 CPU 核心 ， 提 供 8 
节点 群集 和 负载 平衡 服务 ，64 位 数据 中 心 版 最 高 可 支持 2T 内 存 。 

4. Windows Server 2008 安 腾 版 

Windows Server 2008 安 腾 版 是 专 为 Intel 安 腾 系列 64 位 CPU 而 设计 ， 可 以 充分 发 挥 
安 腾 处 理 器 的 强大 性 能 ， 并 且 支 持 最 高 2T 内 存 ， 但 由 于 硬件 平台 的 差异 ，Windows Server 
2008 安 腾 版 不 具备 其 他 版 本 的 部 分 功能 。 


1.2 ”系统 的 安装 


Windows Server 2008 是 微软 公司 目前 最 先进 的 操作 系统 ， 比 以 往 的 操作 系统 在 安全 
性 、 稳 定性 及 功能 等 方面 都 有 相当 大 的 提高 ， 其 安装 方式 也 借鉴 了 Windows Vista 和 
Windows 7， 大 大 简化 了 安装 流程 ， 缩 短 了 安装 时 间 。 


1.2.1 安装 要 求 


Windows Server 2008 对 计算 机 硬件 配置 要 求 较 高 , 而 且 不 同 版 本 的 系统 对 计算 机 硬件 
配置 要 求 也 有 所 不 同 ， 各 版 本 的 硬件 设备 要 求 如 表 1-1 所 示 。 


表 1-1 Windows Server 2008 硬件 需求 


需求 数据 中 心 版 安 史 版 

32 位 : 1GHz 32 位 : 1GHz 32 位 : 1GHz 

CPU 最 低频 率 Itanium 2 系列 处 理 器 
64 位 : 1.4GHz 4 位 : 14GHz 64 位 : 14GHz 

CPU 推荐 频率 ”| 2GHz 或 更 高 2GHz 或 更 高 2GHz 或 更 高 2GHz 或 更 高 

内 存 最 小 容量 512MB 512MB 1GB 1GB 

内 存 推荐 容量 2GB 3GB 2GB 2GB 
32 位 : 4GB 32 位 : 64GB 32 位 : 64GB 

内 存 最 大 容量 2TB 
64 位 : 32GB 64 位 : 2TB 64 位 : 2TB 

多 CPU 支持 1-4 1~8 8~32 1-64 
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数据 中 心 版 
最 小 10GB 最 小 10GB 

推荐 40GB 及 以 上 | 推荐 40GB 及 以 上 | 推荐 40GB 及 以 上 
最 多 8 个 


安 腾 版 
最 小 10GB 
推荐 40GB 及 以 上 


Windows Server 2008 中 的 64 位 版 本 对 硬件 兼容 性 要 求 较 高 , 安装 64 位 系统 的 计算 机 
硬件 必须 安装 通过 微软 认证 的 、 具 有 数字 签名 的 核心 模式 驱动 程序 ， 否 则 会 被 拒绝 安装 。 
虽然 也 可 以 在 计算 机 启动 时 按 下 F8 键 ， 选 择 高 级 启动 模式 ， 从 而 禁用 驱动 程序 的 签名 检 
查 ， 但 是 不 推荐 采用 这 种 方法 将 Windows Server 2008 安装 到 具有 不 兼容 的 硬件 的 计算 机 
上 ， 这 样 会 导致 计算 机 运行 不 稳定 或 不 能 充分 发 挥 Windows Server 2008 系统 的 性 能 。 

此 外 , Windows Server 2008 系统 安装 光盘 为 DVD 光盘 ,因此 安装 Windows Server 2008 
的 计算 机 上 必须 具有 DVD 光驱 。 

安装 前 还 需要 注意 以 下 事项 : 
确保 计算 机 硬件 兼容 Windows Server 2008 操作 系统 ， 并 满足 最 低 需求 。 
确保 计算 机 和 外 界 网 络 实现 物理 隔离 。 

不 必要 的 设备 应 在 安装 系统 前 断 开 与 计算 机 的 连接 ， 如 扫描 仪 、 打 印 机 等 。 

将 操作 系统 安装 至 全 新 分 区 ， 并 使 用 NTFS 文件 系统 ， 不 要 使 用 第 三 方 分 区 工具 。 
为 硬盘 分 区 时 ， 为 系统 安装 文件 、 数 据 文件 和 日 志文 件 划分 不 同 的 分 区 。 

不 要 在 服务 器 上 安装 多 个 操作 系统 。 

如 果 采 用 升级 安装 而 非 全 新 安装 ， 备 份 原 系统 的 重要 文件 ， 并 确保 原 系统 无 重大 
故障 。 


1.2.2 ”安装 方式 


根据 不 同 的 用 户 需求 ，Windows Server 2008 系统 提供 了 不 同 的 安装 方式 。Windows 
Server 2008 为 用 户 提供 了 以 下 几 种 安装 方式 。 


1. 全 新 安装 

全 新 安装 是 最 基本 的 安装 方式 ， 安 装 时 使 用 Windows Server 2008 系统 光盘 启动 计算 
机 ， 然 后 根据 安装 提示 进行 适当 操作 ， 即 可 完成 安装 。 全 新 安装 是 最 安全 的 安装 方式 ， 推 
荐 用 户 使 用 全 新 的 服务 器 或 完全 更 换 系统 时 采取 此 种 方式 。 


2. 升级 安装 


如 果 计 算 机 中 原来 安装 有 Windows Server 2003 操作 系统 ， 并 且 已 经 运行 了 一 些 必要 
的 、 不 可 间断 的 服务 ， 则 可 考虑 升级 安装 的 方式 。 升 级 安装 可 以 将 Windows Server 2003 
系统 升级 至 Windows Server 2008， 同 时 不 改变 原 有 的 服务 和 设置 。 
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Windows Server 2003 标准 版 (安装 SP1 级 以 上 版 本 的 补丁 包 ) 可 升级 至 Windows Server 
2008 标准 版 和 企业 版 ,Windows Server 2003 企业 版 (安装 SP1 级 以 上 版 本 的 补丁 包 ) 只 能 升 
级 至 Windows Server 2008 企业 版 。 


3. 通过 Windows 部 署 服务 远程 安装 


Windows Server 2008 还 可 以 通过 网 络 从 Windows 部 署 服务 器 安装 ， 并 可 以 通过 应 答 
文件 实现 自动 安装 。 要 实现 远程 安装 ， 计 算 机 必须 支持 PXE 功能 。 


4. Server Core 安装 


除 Windows Server 2008 安 腾 版 外 ， 其 他 版 本 均 支 持 Server Core 安装 。 使 用 该 模式 安 
装 的 Windows Server 2008 不 具备 图 形 用 户 界 面 , 管理 员 通 过 命令 行 管理 服务 器 , 而 且 只 集 
成 了 部 分 应 用 和 功能 ， 因 此 更 加 安全 和 可 靠 ， 同 时 降低 了 管理 的 难度 。 推 荐 水 平 较 高 的 管 
理 员 在 追求 高 性 能 和 高 稳定 性 时 采取 这 种 安装 方法 。 


1.2.3 全 新 安装 


全 新 安装 是 最 安全 、 最 高 效 的 安装 方式 ， 也 是 微软 公司 推荐 的 安装 方式 。 操 作 步 又 
如 下 : 

(1) 使 用 Windows Server 2008 安装 光盘 启动 计算 机 ， 进 入 Windows Server 2008 安装 
向 导 界 面 ， 如 图 1-1 所 示 。 如 果 要 安装 简体 中 文 版 的 系统 ， 使 用 如 图 1-1 所 示 的 配置 即 可 ， 
如 果 要 安装 其 他 语言 ， 则 根据 需要 选择 适当 选项 。 


1-1 安装 向 导 界 面 


(2) 单 击 “ 下 一 步 ” 按 钮 ， 提 示 即 将 开始 安装 ， 如 图 1-2 所 示 ， 在 该 界面 ， 用 户 可 以 
单 击 “ 安 装 Windows 须知 ”了 解 安装 系统 时 应 注意 的 问题 ， 或 直接 单 击 “ 现 在 安装 ”以 进 
行 安装 。 
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1-2 ”安装 选项 界面 


(3) 单 击 “ 现 在 安装 ”后 ， 系 统 进入 “选择 要 安装 的 操作 系统 ”界面 ， 如 图 1-3 所 示 。 
此 界面 中 罗列 了 目前 可 以 安装 的 操作 系统 版 本 。 本 书 以 Windows Server 2008 企业 版 为 例 ， 
因此 选择 “Windows Server 2008 Enterprise( 完 全 安装 )”。 如 果 用 户 要 使 用 Server Core 模式 
进行 安装 ， 则 可 选择 带 有 “服务 器 核心 安装 ”字样 的 对 应 选项 


oo 
造 种 可 裕 六 的 榜 作 系 续 (3) 


EH 
Be/ 
Ei 


1-3 ”安装 版 本 选择 界面 


(4) 选择 好 安装 的 版 本 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “请 阅读 许可 条 款 ” 界 面 ， 如 
图 1-4 所 示 。 本 界面 显示 了 系统 用 户 的 权利 和 义务 。 
请 同 读 许 可 和 车 禾 


MICROSOfT 散人 育 可 条 到 习 
MCROSO wmpows swveg 7008, HTHRPRESt 

术语 介入 是 Wcromht Corparsoen (各 和 所 在 地 的 Warosek Corporanon 关 职 公 同 ) 与 
和 之 站 芝 的 肉 识 。 汪 网 关东 芒 。 过 到 条 入 骆 于 上 过 移 件 、 基 中 各 六 央 于 楼 耻 江 
人 R 作 的 各 体 《在 两) * 这 上 休 芍 折 堪 用 于 Merosent 为 此 信件 提 烘 的 

0 

EL 

0 甘于 TERMET 的 上 和 和 

0 堪 折 服务 


EE 
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(5) 选中 “我 接受 许可 条 款 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “您 想 进行 何 种 类 
型 的 安装 ”界面 ， 如 图 1-5 所 示 。 如 果 选 择 “ 升 级 ”选项 则 进行 升级 安装 ， 但 是 若 计算 机 
原来 没有 安装 其 他 操作 系统 时 该 项 不 可 用 ; 如果 选择 “ 自 定义 (高 级 )” 则 进行 全 新 安装 。 


6 DN a 
便 量 行 何 种 型 的 雪 柳 ? 
op 


A te 


Bp 
ME se ee 


Mex 
CL] 
~ ENO. Hh Wish BEE, 


图 1-5 选择 安装 类 型 界面 


(6) 单 击 “ 自 定义 (高 级 )” 选 项 ， 进 入 “您 想 将 Windows 安装 在 何 处 ? ”界面 ， 该 界 
面 显示 了 当前 计算 机 硬盘 的 分 区 信息 ， 如 图 1-6 所 示 。 单 击 “ 刷 新 ”选项 可 以 重新 扫描 计 
算 机 存储 设备 ， 单 击 “ 加 载 驱动 程序 ”可 以 为 Windows Server 2008 不 能 直接 识别 的 存储 设 
备 安装 驱动 程序 ， 如 RAID 磁盘 阵列 ， 此 时 仅仅 需要 将 存储 有 正确 驱动 程序 的 U 盘 连 接 至 
计算 机 ， 并 从 正确 路 径 选择 该 驱动 程序 即 可 。 


您 想 笠 出 mows 安 区 在 合 处 ? 


1-6 分 区 选择 界面 


(7) 单 击 “ 驱 动 器 选项 (高 级 )”， 则 可 使 用 安装 向 导 自 带 的 分 区 工具 对 当前 硬盘 进行 分 
区 。 首 先 选 中 “磁盘 0 未 分 配 空间 ”， 然 后 单 击 “ 新 建 ” 按 钮 ， 输 入 分 区 大 小 ， 单 击 “ 应 
用 ”按钮 即 可 ， 如 图 1-7 所 示 。Windows Server 2008 企业 版 需要 的 最 小 磁盘 空间 为 10G， 
但 是 使 用 过 程 中 系统 文件 的 大 小 会 逐渐 变 大 ， 并 且 还 会 根据 需要 添加 其 他 应 用 程序 或 数据 
文件 ， 因 此 建议 为 系统 分 区 划分 40G 空间 ， 如 果 内 存 较 大 ， 由 于 虚拟 内 存 的 关系 ， 可 以 适 
当 增 大 系统 分 区 空间 。 本 例 中 设置 为 大 约 20G 空间 。 
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图 1-7 创建 分 区 界面 


(8) 如 果 还 需要 为 硬盘 划分 其 他 分 区 ， 可 重复 上 述 步骤 进行 划分 ， 也 可 划分 完 系 统 分 
区 后 直接 单 击 “ 下 一 步 ”按钮 ， 先 进行 系统 安装 ， 系 统 安装 完毕 后 再 进行 磁盘 管理 。 大 多 
数 服务 器 不 会 只 有 一 块 硬盘 ， 安 装 好 系统 后 再 进行 磁盘 管理 ， 还 可 以 将 所 有 的 硬盘 升级 为 
动态 磁盘 ， 从 而 获得 更 强大 的 功能 ， 具 体操 作 请 参见 后 面相 关 章 节 。 如 图 1-7 划分 好 系统 
分 区 后 ， 单 击 “ 下 一 步 ”按钮 ， 打 开 “ 正 在 安装 Windows” 界 面 ， 开 始 安装 系统 ， 该 过 程 
不 需要 人 工 干 预 ， 如 图 1-8 所 示 。 
” mn A we 


正在 去 装 Windom 


DD DA i 


下 在 本 文件 om 


图 1-8 “正在 安装 Windows” 界 面 


(9) 安装 过 程 中 ， 系 统 会 根据 需要 自动 进行 重启 ， 不 需要 人 工 干 预 。 待 安装 完毕 后 ， 
会 提示 修改 管理 员 密码 ， 如 图 1-9 所 示 。 


图 1-9 首次 登录 界面 
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(10) 单 击 “ 确 定 ” 按 钮 ， 进 入 密码 更 改 界面 ， 如 图 1-10 所 示 。Windows Server 2008 
系统 对 密码 要 求 较 高 ， 系 统管 理 员 帐 户 必须 使 用 强 密码 ， 及 必须 是 大 小 写字 母 、 数 字 和 其 
他 字符 中 的 3 种 ， 长 度 不 小 于 6 个 字符 。 在 密码 更 改 界面 中 的 “新 密码 ”和 “确认 密码 ” 
文本 框 中 分 别 输 入 密码 ， 然 后 按 下 回 车 键 。 


加 


Administrator 


Cr 
rr 了 


图 1-10 修改 密码 界面 


(11) 如 果 密 码 修改 成 功 ， 则 进入 如 图 1-11 所 示 的 界面 。 


1-11 密码 修改 成 功 界面 


(12) 单 击 “ 确 定 ” 按 钮 ， 等 待 几 分 钟 后 进入 操作 界面 ， 如 图 1-12 所 示 。 


Weresommeresss 


图 1-12 初始 桌面 
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至 此 ，Windows Server 2008 企业 版 安装 完毕 。 
1.2.4 升级 安装 


如 果 服 务 器 上 已 经 有 网 络 服务 在 运行 , 而 且 不 能 长 时 间 间 断 , 或 重新 配置 会 非常 复杂 ， 
可 以 考虑 使 用 升级 安装 模式 , 将 旧版 本 的 Windows Server 升级 到 Windows Server 2008, 这 
样 不 会 使 原 有 的 服务 长 时 间 中 断 , 也 不 需要 过 多 地 重新 对 计算 机 进行 设置 .但 只 有 Windows 
Server 2003 标准 版 和 企业 版 可 以 升级 至 Windows Server 2008 的 标准 版 和 企业 版 。 具 体操 
作 步 骤 如 下 : 

(1) 启动 计算 机 并 登录 Windows Server 2003， 将 Windows Server 2008 安装 光盘 放 入 
DVD 光驱 ， 光 驱 会 自动 运行 ， 弹 出 Windows Server 2008 安装 向 导 界 面 ， 如 图 1-13 所 示 。 


图 1-13 安装 选项 界面 


(2) 单 击 “ 现 在 安装 ”选项 ， 安 装 向 导 开始 检测 计算 机 配置 ， 如 果 计 算 机 配置 不 能 满 
足 安装 需求 , 则 给 出 相应 提示 并 终止 安装 , 如 果 计 算 机 配置 可 以 满足 安装 需求 , 则 进入 “ 获 
取 安 装 的 重要 更 新 ”界面 ， 如 图 1-14 所 示 。 


蕉 取 安 装 的 重要 更 新 


rr 


不 凌 取 最 新 女装 新 
宙 有 有 守 肝 导 玖 ， 安 基 可 本 全 天 由 ,下 并 复 栅 移 容 时 32 全 城 和 - 
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图 1-14 选择 安装 类 型 界面 
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(3) 如 果 Windows Server 2003 没有 安装 过 补丁 程序 或 者 没有 安装 最 新 的 补丁 程序 ， 可 
选择 “联机 以 获取 最 新 安装 更 新 (推荐 )” 选 项 ， 这 样 计算 机 将 连接 微软 网 站 ， 为 系统 下 载 
并 安装 最 新 补丁 程序 ， 如 果 Windows Server 2003 已 经 安装 最 新 补丁 程序 , 或 至 少 安装 了 微 
软 公司 为 Windows Server 2003 发 布 的 SP1 或 SP2 补丁 程序 包 ， 也 可 直接 单 击 “ 不 获取 最 
新 安装 更 新 ”选项 ， 进 入 “选择 要 安装 的 操作 系统 ”界面 ， 如 图 1-15 所 示 。 选 择 准备 升级 
到 的 Windows Server 2008 版 本 。 本 例 选择 “Windows Server 2008 Enterprise( 完 全 安装 )”， 
以 安装 Windows Server 2008 企业 版 。 


on 人 II 


选择 要 安装 的 操作 对 流 (S)。 


图 1-15 安装 版 本 选择 界面 


(4) 单 击 “ 下 一 步 ”按钮 ， 进 入 “请 阅读 许可 条 款 ” 界 面 ， 如 图 1-16 所 示 。 


请 网 访 许可 条款 


MICROSOFT 软件 许可 务 款 


MICROSOFT WINDOWS GERVER 2009，ENTERPRISE 


本 许可 第 款 县 MicrosoNt corporation [或 你 所 在 地 的 Merosoft Corporatin 关联 公司) 与 


您 之 周 这 成 的 协议 。 请示 这 些 入 款 。 这 些 学 于 扣 同 二 上 过 软 件 ， 其 中 忆 括 怎 用 来 和 人 流 
软件 的 球 伟 者 有 )。 这 毕 务 款 也 适用 千 Maroecf 为 此 软 生 浊 供 区 


i、 
。 x. 
。 基于 INTERNET 的 服务 种 


1-16 ”安装 协议 界面 


(5) 选中 “我 接受 许可 条 款 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “您 想 进行 何 种 类 
型 的 安装 ”界面 ， 如 图 1-17 所 示 。 


新 安装 相同 ， 这 里 不 再 袭 述 。 
变 ， 可 以 使 用 原 有 帐户 和 密码 登录 系统 。 
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生字 义 坑 二 ) 
Rs 放生 的 人， 革 划 虹 有 区 坟 和 。 


和 


图 1-17 安装 类 型 选择 界面 
(6) 单 击 “升级 ”选项 ， 进 入 “兼容 性 报告 ”界面 ， 如 图 1-18 所 示 。 
Do SN 


兼容 性 根 告 


二 
用 页 持 ， 读 容 件 可 人 


We, EER A 
请 二 让 报 务 吉 管 理 祷 ， 和 这么“ 项 加 了 各”， 关 后 实 傈 朱 于 信 


证 恪 H| 已 窜 条 的 全 各 可 能 在 在 同 是 


图 1-18 “兼容 性 报告 ”界面 


=。13 。 


(7) 报告 会 显示 出 当前 计算 机 的 配置 是 否 可 以 升级 到 Windows Server 2008， 并 列 出 可 


1.3 基本 操作 


1.3.1 启动 和 登录 


启动 和 登录 是 使 用 Windows Server 2008 的 必 经 操作 ， 其 方法 如 下 : 


能 出 现 的 问题 。 如 果 报 告 显 示 可 以 升级 ， 单 击 “下 一 步 ”按钮 ， 开 始 安装 系统 ， 步 骤 和 全 
系统 安装 完毕 后 ，Windows Server 2003 原 有 的 帐户 和 密码 不 


"14 Windows Server 2008 系统 管理 


(1) 打开 计算 机 电源 ， 即 可 启动 Windows Server 2008， 启 动 后 ， 计 算 机 会 暂停 于 登录 
界面 ， 如 图 1-19 所 示 。 


按 CTRL + ALT + DELETE 登录 


七 windowsserver 


图 1-19 启动 暂停 界面 


(2) 按 下 组 合 键 Crtl+Alt+Delete， 即 可 进入 密码 输入 界面 ， 如 图 1-20 所 示 。 


| | 


Administrator 


功 WindowsServer 


图 1-20 密码 输入 界面 


(3) 输入 正确 的 密码 并 按 下 回 车 键 ， 即 可 登录 到 Windows Server 2008 系统 中 。 
1.3.2 ”注销 与 关机 


安装 系统 时 设置 的 密码 是 为 系统 管理 员 帐 户 而 设置 的 ， 因 此 只 能 以 系统 管理 员 身 份 登 
录 计 算 机 , 但 很 多 时 候 不 需要 以 管理 员 身 份 登录 , 此 时 可 以 用 普通 用 户 的 身份 登录 服务 器 。 
使 用 其 他 帐户 登录 的 方式 如 下 : 

(1) 单 击 打 开 “ 开 始 ” 菜 单 ， 如 图 1-21 所 示 。 
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这 | 国 


ee 


| 


加 : 
而 ET 


图 1-21 关机 选项 


(2) 选择 “注销 ”选项 ， 系 统 跳 转 到 登录 前 的 界面 ， 按 下 Crtl+Alt+Delete 组 合 键 ， 进 
入 帐户 选择 界面 ， 如 图 1-22 所 示 。 


图 1-22 注销 登录 界面 


(3) 单 击 要 进行 登录 的 用 户 图 标 ， 输 入 正确 的 密码 ， 按 下 回 车 键 ， 即 可 以 该 用 户 帐 号 

Windows Server 2008 是 专 为 网 络 服务 而 设计 的 , 因此 许多 细节 之 处 和 普通 操作 系统 是 
不 同 的 。 如 关机 和 重启 ， 网 络 操作 系统 一 般 用 于 提供 不 间断 的 网 络 服务 器 ， 因 此 每 次 关机 
和 重启 都 是 应 当 慎 重 对 待 的 ,Windows Server 2008 要 求 用 户 在 关机 和 重启 时 注 明 理由 以 写 
入 日 志 。 操 作 步 骤 如 下 : 

(1) 单 击 “ 开 始 ”菜单 ， 选 择 “ 关 机 ”选项 ， 如 图 1-23 所 示 。 
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图 1-23 关机 选项 


(2) 单 击 “ 关 机 ”按钮 ， 打 开 “ 关 闭 Windows” 对 话 框 ， 如 图 1-24 所 示 。 


前 5) | 可 动 00 
图 1-24 关机 理由 设置 界面 


(G3) 可 在 “选项 ”下 拉 列 表 中 选择 合适 的 关机 理由 ， 如 果 关 机 原因 不 属于 菜单 中 的 项 
目 ， 则 可 在 下 方 的 “注释 ”文本 框 中 写 入 关机 理由 ， 如 图 1-25 所 示 。 


Enterprise 
nh 
选项 @): 5 计划 0 
| 其 他 全 3) 
而 


mac | _ sm 
图 1-25 关机 理由 设置 界面 


设置 完毕 后 ， 单 击 “ 确 定 ” 按 钮 ， 完 成 关机 。 
重启 过 程 与 关机 过 程 类 似 ， 这 里 不 再 著述 。 


1.4.1 桌面 配置 
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1.4 系统 基本 配置 


Windows Server 2008 是 一 款 网 络 操作 系统 ， 主 要 应 用 于 服务 器 。 因 此 只 要 对 计算 机 和 


网 络 服务 设置 完毕 后 ， 


- 般 不 再 对 服务 器 进行 设置 , 因此 Windows Server 2008 的 桌面 配置 


不 是 非常 重要 。 本 节 介 绍 Windows Server 2008 中 最 常用 的 分 辨 率 和 字体 大 小 选项 的 设置 。 


操作 步骤 如 下 : 


(D 在 桌面 空白 处 右 击 鼠 标 ， 在 弹出 的 快捷 菜单 中 选择 “个 性 化 ”选项 ， 打 开 “ 个 性 
化 ”窗口 ， 如 图 1-26 所 示 ， 该 窗口 显示 了 Windows Server 2008 中 针对 桌面 可 进行 的 设置 。 


3 jplad| 
OO “NT -Bm 
TR 
ed 个 性 化 外 晶 和 严 加 
po) 号 ee 
Om ae ee. 
Re nsenensnen omcsyonas- 
a re 
ae 
省 本 ne nr. ooeeaieneasmesus- 
BR. avnenann es rsnnnma. 
a ee mo ne ae 
bo es es le 
ea 
图 1-26 “个 性 化 和 外 观 ” 界 面 
(2) 选择 “显示 设置 ”选项 ， 打 开 “ 显 示 设 置 ” 对 话 框 ， 如 图 1-27 所 示 。 
加 
VM Addhions S3 Trio32/64 上 的 ( 揣 认 监视 起) 
HER: Wel 
EE| 
800*600 您 素 
eR 
声 主 EE EW 


图 1-27 “显示 设置 ”对 话 框 
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G) 在 该 对 话 框 的 “分 辩 率 ”选项 中 ， 可 以 抑 动 滑 块 以 调整 显示 器 的 分 辨 率 ， 滑 块 越 
向 右 ， 分 辩 率 越 高 ， 建 议 使 用 显示 器 的 最 佳 分 辩 率 ， 不 要 过 高 也 不 要 过 低 ， “颜色 ”选项 
用 于 设置 使 用 多 少 种 颜色 来 显示 图 像 ， 图 中 显示 为 “16 位 ”， 表 示 显 示 图 像 时 使 用 2* 种 
颜色 ， 这 个 数值 越 高 ， 图 像 色 彩 越 和 逼真 。 由 于 服务 器 的 显示 器 主要 在 系统 设置 时 使 用 ， 因 
此 没有 必要 设置 得 太 高 。 单 击 “ 高 级 设置 ”按钮 ， 打 开 “ 高 级 设置 ”对 话 框 ， 如 图 1-28 
所 示 。 


BEET EE TT | 
过 可 如 ”监视 吗 | 寻 难 解答 | 部 名 管理 | 
-站 各 中 类 型 


图 1-28 监视 器 设置 界面 


(4) 选择 “监视 器 ”选项 卡 ， 可 以 为 显示 器 设置 刷新 率 。 一 般 来 说 ，CRT 显示 器 可 以 
设置 为 85Hz，LCD 显示 器 可 以 设置 为 60Hz。 设 置 完毕 后 单 击 “确定 ”按钮 即 可 退出 分 辩 
率 设 置 。 

(5) 返回 到 “个 性 化 ”窗口 ， 选 择 “ 调 整 字体 大 小 ”选项 ， 打 开 “DPI 缩放 比例 ”对 
话 框 ， 如 图 1-29 所 示 。 

| 


ae 坟 训 比 全 | 
证 尝 的 输 扣 比 弄 晤 小 . 导 划 上 可 容 的 的 信息 其 名， 远 挫 的 富 芍 比例 战 大 . 广 坟 的 
可 站 性 起 高， 站 各 合 亲 衣 由 汪 这 二 多 DPl3 


丰台 WAtbg(96 DPILD) - 避 示 时 名 信息 
个 更 大 比例 (120 DPD(L) - 使 文本 更 容易 办 认 


全 定义 DPIIQ.- 
E21] EW 
图 1-29 “PPI 缩 放 比 例 ” 对 话 框 
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(6) 该 对 话 框 可 以 让 用 户 在 不 改变 分 辩 率 的 前 提 下 修改 字体 大 小 ， 以 适合 自己 使 用 。 
也 可 以 单 击 “ 自 定义 DPI” 按钮 ， 打 开 “ 自 定义 DPI 设置 ”对 话 框 ， 通 过 调整 百分比 来 设 
置 文字 大 小 ， 如 图 1-30 所 示 。 
Ed 
和 
一 


1 


o 2 3 


9 点 莹 次 蕉 二 分 关 率 是 每 英寸 96 像素 


了 厅 使用 Wndows YF 风 梧 DPI 纹 入 比 殉 (Y) 


Cw |]_ as | 


1-30 “ 自 定义 DPI 设置 ”对 话 框 


1.4.2 ”更改 计算 机 名 


Windows Server 2008 的 计算 机 名 是 系统 生成 的 ， 如 “WIN.UFPO0U9E7ZAN” 这 样 的 名 
字 ， 既 没有 确定 含义 ， 也 没有 什么 规律 ， 不 便于 管理 员 管理 ， 因 此 应 该 按照 一 定 的 规律 为 
计算 机 命名 。 操 作 方法 如 下 : 

(1) 依次 选择 “开始 ”菜单 一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 打 开 “ 服 务 器 
管理 器 ”窗口 ， 如 图 1-31 所 示 。 


文件 中 操作 0 查看) 地 00 
和 嘟 | 中 | 四 


| a ormroezin 


下 地 过 次 me A me to J 
运程 上 Dm 
关 R DD B2518-0m- T02905-IOLTS 


厂 登录 时 不 要 叶 不 此 近 和 扣 加 ) 


< 安全 信息 便民 到 aave rw 
iators 隐 类 坪 。。 启用 所 Ps 
sims waste 二 ne 本 
ar 于 


Fay 不 

: | EX ban5mz ENT 
| 

半 H| | 名 相 ET |s|@|: WE 

1-31 “服务 器 管理 器 ”窗口 


(2) 在 右 侧 窗口 中 依次 选择 “服务 器 摘要 ”一 “计算 机 信息 ”一 “更 改 系统 属性 ” 命 
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令 ， 打 开 “ 系 统 属性 ”对 话 框 ， 如 图 1-32 所 示 。 
国 


计算 机 名 | 硬件 | 高 如 | 到 有 E | 
AT 
计算 机 拟 还 9): 
全 0: “TS Prsduction Server" 或 
“Accomting Srver”e 
计划 机 全 名 : mrumouzrzur 
工作 组 : PORKGEOUP 


En 证。 一 


| 有 疝 
图 1-32 “系统 属性 ”对 话 框 


(3) 在 “计算 机 名 ”选项 卡 中 可 以 设置 对 当前 计算 机 的 描述 ， 查 看 当前 计算 机 的 名 字 
和 所 在 工作 组 ， 如 果 当 前 计算 机 名 需要 修改 。 单 击 “ 更 改 ” 按钮 ， 打 开 “ 计 算 机 名 / 域 更 改 ” 
对 话 框 ， 如 图 1-33 所 示 。 


El 


1-33 “计算 机 名 / 域 更 改 ” 对 话 框 


(4) 本 例 中 为 服务 器 命名 为 “Server-01”， 如 果 该 服务 器 在 域 中 ， 可 选中 “ 域 ” 单 选 
按钮 ， 输 入 所 在 域 的 名 称 ， 如 果 该 服务 器 在 工作 组 中 ， 可 选中 “工作 组 ” 单 选 按 钮 ， 输 入 
所 在 工作 组 名 称 。 修 改 完毕 后 ， 单 击 “ 确 定 ” 按 钮 退出 ， 并 根据 向 导 提 示 重 启 计算 机 ， 即 


1.4.3 设置 IP 地 址 


安装 Windows Server 2008 完毕 后 ， 默 认 通过 DHCP 自动 获取 他 地 址 ， 但 是 这 样 是 有 
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缺陷 的 ,一 是 网 络 内 需要 有 DHCP 服务 器 ， 如果 设备 提供 DHCP 服务 , 计算 机 将 无 法 获取 
卫 地 址 ， 二 是 通过 DHCP 服务 器 分 配 的 卫 地 址 是 会 变化 的 ， 不 一 定 可 以 让 同一 台 计 算 机 
每 次 都 获得 同一 个 地 址 ， 因 此 要 为 服务 器 设置 固定 的 他 地址 。 具 体操 作 方法 如 下 : 

(1) 依次 选择 “开始 ”菜单 一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ,打开 “服务 器 
管理 器 ”窗口 ， 选 择 右 侧 窗口 中 “服务 器 摘要 ”一 “计算 机 信息 ”一 “查看 网 络 连接 ” 命 
令 ， 打 开 “ 网 络 连接 ”窗口 ， 如 图 1-34 所 示 。 

6 可 


〇 OO [ 压 和 后 硕 " 网 8 迁 六 二 男 [s= 加 
文件 四。 编 强 EE) 查看 W) 工具 C) 高 加 四 帮 动 00 

组 员 ” 省 国 9 
本 百 
Ms 

< Re 


图 1-34 “网 络 连接 ”窗口 


(2) 在 要 配置 瑟 地 址 的 网 卡 的 图 标 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 
打开 该 网 卡 的 “属性 ”对 话 框 ， 如 图 1-35 所 示 。 
到 


连接 时 使 用 
Intel 21140-Based PCT Past Ethernet Adspter 了 


加 二 人 Uo 全 


| 1Cm 1 
| ina | 


1-35 “本 地 连接 属性 ”对 话 框 


(3) 选择 “Internet 协议 版 本 4(TCP/IP v4)”， 再 单 击 “ 属 性 ”按钮 ， 打开 “Internet 协 
议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 ， 如 图 1-36 所 示 。 
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Internet 协议 版 本 < (CPAIPv4) 恬 往 


| 
1-36 “Intemet 协议 版 本 4TCP/IPv4) 属 性 ”对 话 框 


(4) 选中 “使 用 下 面 的 于 地 址 ” 单 选 按钮 ， 即 可 为 服务 器 输入 卫 地 址 、 子 网 掩 码 、 默 
认 网 关 、 首 选 和 备用 DNS 服务 器 地 址 等 配置 信息 。 填 写 完毕 后 ， 单 击 “ 确 定 ”按钮 ， 再 
关闭 网 卡 属性 对 话 框 ， 即 可 完成 配置 。 


1.4.4 启用 Windows 防火 墙 


作为 一 个 网 络 操作 系统 ， 其 安全 性 是 提供 网 络 服务 的 保障 。 如 果 服 务 器 处 于 不 安全 的 
网 络 环境 中 , 甚至 服务 器 本 身 就 是 不 安全 的 , 那么 它 根本 无 法 保证 连续 而 正确 地 提供 服务 。 
虽然 有 许多 安全 解决 方案 , 但 是 Windows Server 2008 为 加 强 安全 ， 本 身 集成 有 防火 墙 ,， 本 
节 介绍 Windows Server 2008 的 基本 防火 墙 的 使 用 方法 , 男 有 高 级 设置 方法 , 将 在 后 面相 关 
章节 中 进行 介绍 。 

(1) 打开 Windows Server 2008 的 控制 面板 ， 双 击 “Windows 防火 墙 ” 图 标 ， 打 开 
Windows 防火 墙 的 设置 界面 ， 如 图 1-37 所 示 。 


Elgla 
器 

Windows 天火 二 

”won amt Ee ee re 
1 


O war sraemearsmtmr 


Wdom Pr pam gen 
MR Ng, 

Mesa 
Be ran 


i 


图 1-37 Windows 防火 墙 设置 界面 
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(2) 单 击 “ 更 改 设置 ”链接 ， 打 开 “Windows 防火 墙 设置 ”对 话 框 ， 如 图 1-38 所 示 。 


坟 Tindors 防火 培 设 置 Ed 


以 帮助 阳 止 黑客 或 毛 意 软件 通过 Internet 或 3 络 访 问 


启 NO) 


ee 除了 在 “例外 ” 选 硕 卡 


厂 阻止 所 有 舍 入 连接 8) 


人 
加 三 关闭 四) 


Windews 防火 党 将 使 此 计算 机 更 诊 黑 受 


| 5 册 
图 1-38 “常规 ”选项 卡 


防火 墙 默认 为 开启 状态 ， 如 果 不 想 使 用 ， 选 中 “关闭 ” 单 选 按钮 ， 然 后 单 击 “ 确 定 ” 
按钮 即 可 。 如 果 开启 了 防火 墙 ，“ 阻 止 所 有 传 入 连接 ” 复 选 框 将 可 选 。 选 中 后 ， 防 火 墙 将 
阻止 所 有 主动 连接 该 计算 机 的 尝试 ， 但 是 会 放行 本 机 对 外 的 连接 ， 简 单 来 说 ， 外 界 对 本 机 
是 无 法 探测 到 的 。 对 于 个 人 用 户 ， 如 果 选 中 该 选项 ， 计 算 机 几乎 不 会 被 攻击 者 主动 攻击 ， 
但 作为 服务 器 尽量 不 要 选择 这 个 选项 。 

G) 单 击 打开 “例外 ”选项 卡 ， 进 入 例外 配置 界面 ， 如 图 1-39 所 示 。 


俩 刘 训 人 信 的 方 却 。 添加 程序 或 庙 
防火 墙 当前 使 用 的 是 公用 网 络 位 置 的 设置 。 避 消 阴 外 和 序 有 何 
车 要 自用 例外 ， 请 选 报 此 复 达 杜 T) 


口 co 网 络 访 加 

Dr Server 

BNCY Server Rensgenent 
局 Ihct 中 继 必 理 程 序 

回 Ihrcfv6 中 维 代 理 


Dm rr 
琅 Web 管理 服务 QTTP) 到 


运 Je 序 四 | hn) .| te) | mr | 
民 Windews 防火 增 昌 上 条 程序 时 通知 党 0) 


取消 应 用 的 ) 
图 1-39 “例外 ”选项 卡 


(4) 该 界面 显示 了 所 有 可 以 通过 防火 墙 的 应 用 程序 和 端口 ， 被 选中 的 项 目 就 是 允许 通 
过 防火 墙 的 项 目 ,没有 被 选中 的 就 是 不 能 通过 防火 墙 的 项 目 。 选 中 某 一 项 后 , 单 击 “ 属 性 ” 
按钮 即 可 修改 其 内 容 ， 单 击 “ 删 除 ” 按 钮 即 可 删除 该 例外 ， 使 相对 应 的 程序 或 端口 处 于 禁 
止 遂行 状态 。 单 击 “ 添 加 程序 ”按钮 ， 打 开 “ 添 加 程序 ”对 话 框 ， 如 图 1-40 所 示 。 
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3 1| 


和 或 单 击 “ 浏 览 ”查找 未 列 出 的 程序 ， 然 后 单 击 


路 径 愉 :EPErogm Files\internet ExplorerVie 浏览 @). 


Es 确 E | 取消 | 


图 1-40 “添加 程序 ”对 话 框 


(5) 在 此 可 以 选择 “程序 ”列表 框 中 的 程序 ， 或 者 单 击 “ 浏 览 ”按钮 选择 一 个 程序 所 
在 的 路 径 ， 单 击 “ 确 定 ”按钮 后 ， 该 程序 访问 网 络 时 不 会 被 阻止 。 如 果 想 限定 该 程序 访问 
网 络 的 范围 ， 则 单 击 “ 更 改 范围 ”按钮 ， 打 开 “ 更 改 范围 ”对 话 框 ， 如 图 1-41 所 示 。 该 对 
话 框 有 以 下 3 个 选项 : 

e 任何 计算 机 : 程序 可 以 与 所 有 计算 机 进行 通信 。 

e 仅 我 的 网 络 :程序 只 能 和 在 同一 子 网 内 的 计算 机 通信 。 

。 自 定义 列表 : 管理 员 自 定义 程序 可 和 那些 计算 机 通信 。 


划 | 
:7 请 单 击 下 面 
型 竺 有 请 输入 以 到 号 分 隔 的 I? 地 址 ， 子 网 或 加 包括 IF 地 
他 任何 计算 机 "包括 Internet 上 的 计算 机 ) OA 
个 仅 和 前 网络 弛 网 ) 员 ) 

个 自 定义 列表 吕 ) 
一 一 | 


示例 : 192. 168.114. 201, 192. 168. 114. 201/255. 255. 255. 0, 
3ffe: ffff:8311: £262:1460: 5280: dbl : £448 


Ca |] ws | 
图 1-41 “更 改 范围 ”对 话 框 


(6) 设置 完毕 后 ， 单 击 “确定 ” 按 钮 返回 “添加 程序 ”界面 ， 再 次 单 击 “ 确 定 ” 按 钮 
返回 防火 墙 设置 界面 。 单 击 “ 添 加 端口 ”按钮 ， 打 开 “ 添 加 端口 ”对 话 框 ， 如 图 1-42 所 示 

(7) 一 些 服务 ， 如 Telnet 依赖 特定 端口 ， 因 此 要 使 用 这 类 服务 必须 开放 特定 的 端口 。 
在 该 对 话 框 中 ， 输 入 要 开放 的 端口 号 和 名 称 ， 选 择 协 议 类 型 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完 
成 配置 。“ 更 改 范围 ”按钮 和 前 面相 同 ， 这 里 不 再 著述 。 单 击 打 开 “ 高 级 ”选项 卡 ， 进 入 
高 级 设置 界面 ， 如 图 1-43 所 示 。 
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图 1-42 “添加 端口 ”对 话 框 图 1-43 “高 级 ”选项 卡 


(8) 在 该 界面 中 , 可 以 设置 哪些 网 络 适配器 接受 防火 墙 的 保护 , 哪些 不 接受 防火 墙 的 保护 。 


1.5 系统 的 管理 


Windows Server 2008 刚 安装 完毕 时 是 不 能 提供 任何 服务 的 , 也 就 是 说 , Windows Server 
2008 采用 的 是 最 小 安装 策略 ,用 户 需要 用 到 什么 服务 添加 即 可 ， 这 样 大 大 降低 了 因 安 装 系 
统 服务 带 来 的 安全 隐患 。 

Windows Server 2008 将 各 种 服务 管理 工具 高 度 集成 , 简化 了 管理 步骤 , 降低 了 管理 难度 。 


1.5.1 角色 的 添加 与 管理 


Windows Server 2008 使 用 角色 的 概念 来 细 分 服务 项 目 。Windows Server 2008 中 管理 角 
色 的 工具 是 服务 器 管理 器 ， 具 体 使 用 方法 如 下 : 

(1) 选择 “开始 ”菜单 一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ,打开 “ 服 务 器 管理 
器 ”窗口 ， 然 后 在 左 侧 窗口 中 选择 “角色 ”选项 ， 如 图 1-44 所 示 。 


十 上 
人 目 ha 


二 角色. 0 卉 iT) BD tem 
i mpeae 


ET 


1-44 “服务 器 管理 器 ”窗口 
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(2) 单 击 “ 添 加 角色 ”， 打 开 “ 添 加 角色 向 导 ”， 如 图 1-45 所 示 。 


EETEEES 四 | 
EE 开始 之 前 
开始 二 es 
i 3 拉 作 之 前 ， 请 六 biT 包 贰 
Ra 


如 号 意 必须 元 成 上 述 的 任何 部 办 ， 请 取 稍 离 名 导 ， 完 成 步 邓 ， 部 后 末次 运行 向 导 * 
天 要 维 红 十 生 十“ 下 一 步 "， 


厂 野 认 情 只 下 将 跌 过 此 页 E) 


Er 7 | 本 
图 1-45 “添加 角色 向 导 ” 欢 迎 界面 


(3) 选中 “默认 情况 下 跳 过 此 页 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 打开“ 选择 服务 器 
角色 ”界面 ， 如 图 1-46 所 示 。 


《上 - 步 中 EE 8 哨 


图 1-46 “选择 服务 器 角色 ”界面 


(4) 在 列表 框 中 选择 要 安装 的 服务 种 类 ， 部 分 服务 可 能 包含 若干 项 子 服务 ， 可 以 在 窗 
口 堪 侧 的 “服务 器 角色 ”下 方 的 子 选项 中 进一步 选择 。 选 择 好 要 安装 的 服务 种 类 后 ， 单 击 
“下 一 步 ”按钮 ， 进 入 已 选中 的 服务 的 简介 界面 中 ， 如 图 1-47 所 示 。 
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图 1-47 角色 详细 设置 界面 


(5) 单 击 “ 下 一 步 ”按钮 ， 进 入 “选择 角色 服务 ”界面 ， 如 图 1-48 所 示 。 


(6) 选择 合适 的 角色 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “确认 安装 选择 ”界面 ， 如 图 1-49 
所 示 。 该 界面 将 前 面 所 选 的 项 目 汇总 显示 出 来 。 


EE 加 
ae eee 
RSS EM 
we 
es 
90) Fs )| 这 mn E90) T2735] en | 
图 1-48 “选择 角色 服务 ”界面 


图 1-49 “确认 安装 选择 ”界面 


(7) 如 果 有 需要 修改 的 项 目 ， 单 击 “ 上 一 步 ”按钮 返回 进行 修改 ;如 果 不 需 要 作 修 改 ， 
单 击 “ 安 装 ” 按 钮 即 可 开始 安装 。 安 装 完毕 后 ， 显 示 “ 安 装 结果 ”界面 ， 如 图 1-50 所 示 。 
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图 1-50 “安装 结果 ”界面 
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(8) 单 击 “ 关 闭 ” 按 钮 即 可 结束 安装 。 此 时 返回 服务 器 管理 器 ， 管 理 器 中 的 “角色 ” 


一 项 中 已 经 出 现 了 刚刚 安装 的 服 
安装 完毕 后 ， 可 能 需要 去 掉 


务 项 目 。 
一 些 不 使 用 的 服务 ， 具 体操 作 方法 如 下 : 


(1) 打开 服务 器 管理 器 ， 选 择 “ 角 色 ” 选 项 ， 如 图 1-51 所 示 。 
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1-51 “服务 器 管理 器 ”界面 


(2) 单 击 “ 删 除 角 色 ”， 打 开 “ 删 除 角色 向 导 ”， 如 图 1-52 所 示 。 


CTE | 
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图 1 


(3) 单 击 要 删除 的 服务 项 目 ， 
详细 设置 界面 ， 如 图 1-53 所 示 。 


-52 “删除 服务 器 角色 ”界面 


将 前 面 的 “ V ”去 掉 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 进 入 
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图 1-53 ”删除 服务 选项 界面 


(4) 进行 设置 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “确认 删除 选择 ”界面 ， 如 图 1-54 所 示 。 


CEE 习 
锥 确认 出 除 选择 
开 好 之 简 以 区 
忆 A 角 双 服务 或 东 能 ， 请 单 击 “ 和 了， 
打印 服务 四 1 信和 和 BF 加 下 


‘上 -#0m| LL 
图 1-54 “确认 删除 选择 ”界面 


(5) 确认 无 误 后 ， 单 击 “删除 ”按钮 ， 稍 等 片刻 即 可 完成 删除 。 

服务 器 角色 是 软件 程序 的 集合 ， 在 安装 并 正确 配置 之 后 ， 允 许 计算 机 为 网 络 内 的 多 个 
用 户 或 其 他 计算 机 执行 特定 功能 。 一 般 来 说 ， 角 色 有 具有 下 列 共同 特征 : 角色 描述 计算 机 的 
主要 功能 、 用 途 或 使 用 。 特 定 计算 机 可 以 专用 于 执行 企业 中 常用 的 单个 角色 ， 如 果 多 个 角 
色 在 企业 中 均 很 少 使 用 ， 则 还 可 以 执行 多 个 角色 。 角 色 允 许 整 个 组 织 中 的 用 户 访问 由 其 他 
计算 机 管理 的 资源 ， 比 如 网 站 、 打 印 机 或 存储 在 不 同 计算 机 上 的 文件 。 角 色 通 常 包括 自己 
的 数据 库 ， 这 些 数据 库 可 以 对 用 户 或 计算 机 请 求 进行 排队 ， 或 记录 与 角色 相关 的 网 络 用 户 
和 计算 机 的 信息 。 例 如 ，Active Directory 域 服务 包括 一 个 用 于 存储 网 络 中 所 有 计算 机 的 名 
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称 和 层次 结构 关系 的 数据 库 。 正 确 安装 并 配置 角色 之 后 ， 将 角色 设置 为 自动 工作 ， 以 人 允许 
安装 此 角色 的 计算 机 使 用 有 限 的 用 户 命令 或 管理 执行 预定 的 任务 。 角 色 服 务 是 提供 角色 功 
能 的 软件 程序 。 安 装 角色 时 ， 可 以 设置 角色 将 为 企业 中 的 其 他 用 户 和 计算 机 提供 的 角色 服 
务 。 有 的 角色 (例如 DNS 服务 器 ) 只 有 一 个 功能 ， 因 此 没有 可 用 的 角色 服务 。 其 他 角色 比 
如 终端 服务 可 以 安装 多 个 角色 服务 ， 这 取决 于 企业 的 远程 计算 需要 。 可 以 将 角色 视 作对 密 
切 相关 的 互补 角色 服务 的 分 组 ， 在 大 多 数 情 况 下， 安装 角色 意味 着 安装 该 角色 的 一 个 或 多 
个 角色 服务 。 

功能 是 一 些 软件 程序 ， 这 些 程序 虽然 不 直接 构成 角色 ， 但 可 以 支持 或 增强 一 个 或 多 个 
角色 的 功能 , 或 增强 整个 服务 器 的 功能 ， 而 不 管 安装 了 哪些 角色 。 例如 ，“ 故 障 转移 群集 ” 
功能 增强 其 他 角色 (比如 文件 服务 和 DHCP 服务 器 ) 的 功能 ， 方 法 是 使 它们 可 以 针对 已 增加 
的 元 余 和 改进 的 性 能 加 入 服务 器 群集 。 另 一 个 功能 “Telnet 客户 端 ”允许 通过 网 络 连接 与 
Telnet 服务 器 远程 通信 ， 从 而 全 面 增强 服务 器 的 通信 选项 。 


1.5.2 ”使 用 控制 台 管 理 系统 


Windows Server 2008 集成 了 控制 台 功能 。 通 过 控制 台 ， 可 以 集中 管理 原来 基于 Web 
或 单独 应 用 程序 等 方式 的 系统 工具 。 控 制 台 的 具体 操作 方法 如 下 : 

(1) 依次 选择 “开始 ”一 “运行 ”命令 ， 在 弹出 的 对 话 框 中 输入 mme( 不 含 引号 )， 按 下 
回 车 键 ， 打 开 “ 控 制 台 ”窗口 ， 如 图 1-55 所 示 。 


向 文件 中 捉 作 0) 查看 收 苞 赤 D) 军 口 0) 大助 0) |=18l¥ 
Tall 
EE 


此 视图 中 沿 有 可 加 未 A 而 目 。 


图 1-55 “控制 台 ” 窗 口 界面 


(2) 依次 选择 “文件 ”一 “添加 /删除 管理 单元 ”命令 ， 打 开 “ 添 加 或 删除 管理 单元 ” 
对 话 框 ， 如 图 1-56 所 示 。 在 “可 用 的 管理 单元 ”列表 框 中 选择 需要 添加 的 管理 单元 ， 单 击 
“添加 ”按钮 ， 将 所 选项 目 添加 到 “所 选 管理 单元 ”列表 框 中 ， 重 复 操作 可 以 添加 多 个 管 
理 单元 。 选 择 过 程 中 部 分 管理 单元 需要 声明 是 管理 本 机 还 是 管理 网 络 上 的 其 他 计算 机 ， 用 
户 仅 需 在 提示 对 话 框 中 选择 合适 的 选项 即 可 。 
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四 
过 理 元 。 对 于 可 扩 忆 9 入 香 竺 ,吉本 凡 要 启 有 


图 1-56 “添加 或 删除 管理 单元 ”对 话 框 


G) 添加 完 所 需 的 项 目 后 ， 单 击 “ 确 定 ”按钮 ， 返 回 控制 台 ， 用 户 可 以 在 控制 台中 管 
理 刚才 所 选 的 项 目 了 。 关 闭 控制 台 时 ， 系 统 会 提示 是 否 将 当前 的 选择 保存 起 来 ， 如 果 选 择 
“是 ”， 可 以 将 当前 选择 保存 到 “管理 工具 ”中 ， 下 次 再 使 用 时 ， 依 次 选择 “开始 ”菜单 
一 “所 有 程序 ”一 “管理 工具 ”， 然 后 在 菜单 中 找到 保存 的 项 目 ， 直 接 单 击 即 可 打开 配置 
好 的 控制 台 。 


1.5.3 ”本 地 用 户 帐 户 和 用 户 组 


Windows Server 2008 支持 多 用 户 ， 为 了 保证 每 个 用 户 能 够 各 司 其 职 ， 不 越权 行事 ， 保 
证 系统 和 资源 的 安全 ， 管 理 员 应 该 对 每 个 用 户 进行 权限 设置 。 

- 般 的 系统 至 少 有 两 类 用 户 ， 一 类 是 管理 员 ， 该 类 用 户 具 有 最 高 权限 ， 可 以 设置 普通 
帐户 的 权限 ， 可 以 查看 所 有 的 文件 ， 可 以 在 系统 上 执行 任何 操作 而 不 受 限 制 。 管 理 员 中 还 
有 一 个 系统 管理 员 帐 户 权限 在 普通 管理 员 之 上 ， 可 以 管理 其 他 普通 管理 员 帐 户 。 另 一 类 是 
普通 用 户 帐户 ， 该 类 用 户 权 限 较 低 ， 往 往 具 有 某 些 权限 上 的 限制 ， 如 不 能 安装 软件 ， 或 不 
能 删除 部 分 文件 ， 或 不 能 查看 其 他 用 户 的 文件 等 。 

Windows Server 2008 这 样 的 网 络 服务 器 操作 系统 具有 的 用 户 更 多 ， 如 专门 设置 HS 的 
管理 员 帐 户 ， 专 门 进 行 备份 操作 的 管理 员 帐 户 等 。 

为 了 方便 帐户 管理 ，Windows 中 提出 用 户 组 的 概念 。 管 理 员 可 以 针对 不 同 的 组 设置 不 
同 的 权限 ， 新 建 帐户 后 不 需要 再 对 帐户 逐一 进行 权限 配置 ， 直 接 将 新 建 的 帐户 放 入 相应 的 
组 即 可 。 因 此 能 够 管理 好 用 户 组 是 一 种 提高 管理 效率 的 做 法 。 

在 Windows Server 2008 中 管理 组 的 具体 操作 方法 如 下 : 

(1) 依次 选择 “开始 ”菜单 一 “管理 工具 ”一 “计算 机 管理 ”命令 ， 接 着 展开 “本 地 
用 户 和 组 ”选项 ， 如 图 1-57 所 示 。 
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图 1-57 “计算 机 管理 ”窗口 


CO) 在 “组 ”选项 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 组 ”命令 ， 打 开 “ 新 建 组 ” 
对 话 框 ， 如 图 1-58 所 示 。 


Who0 Me) | _ 关中 


1-58 “新 建 组 ”对 话 框 


G) 在 “组 名 ”文本 框 中 输入 用 户 组 的 名 称 ， 此 项 为 必 填 项 ， 在 “描述 ”文本 框 中 输 
入 对 该 组 的 说 明 ， 该 项 为 选 填 。 目 前 该 组 中 还 没有 任何 成 员 ， 可 以 单 击 “ 添 加 ”按钮 ， 从 
弹出 的 对 话 框 中 选择 合适 的 用 户 添加 进 该 组 ， 或 以 后 在 创建 或 设置 用 户 时 再 进行 添加 。 设 
置 完毕 后 ， 单 击 “ 创 建 ” 按钮 即 可 完成 创建 。 将 所 有 要 添加 的 组 添加 完毕 后 ， 单 击 “ 关 闭 ” 
按钮 关闭 对 话 框 。 

(4) 如 果 不 再 需要 某 个 组 ， 可 以 在 相应 的 组 名 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “ 删 
除 ”命令 ， 如 图 1-59 所 示 ， 系 统 会 弹出 一 个 确认 对 话 框 ， 单 击 “ 是 ”按钮 即 可 删除 该 组 。 


图 1-59 删除 组 界面 
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以 上 是 对 组 的 创建 和 删除 操作 。 对 用 户 的 创建 和 删除 ， 操 作 步 骤 如 下 : 
(1) 打开 “计算 机 管理 ”工具 ， 并 展开 “用 户 和 组 ”选项 ， 在 “用 户 ” 选 项 上 右 击 ， 
在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 ， 打 开 “ 新 用 户 ” 对 话 框 ， 如 图 1-60 所 示 。 

下 zz 
PSM: usesm 
ET | 
挤 述 四 ): 有 ESakP 
密 四 中- EE | 
确认 密码 人 ): | 


克 用 户 下 次 登录 时 须 更 改 室 码 思 
厂 用 户 不 能 更 鸡 弯 码 后 ) 
后 本 可 永 下 过 类 阅 
厂 帐户 已 蔚 用) 
才 助 0 关闭 中 


图 1-60 “新 用 户 ” 对 话 框 


(2) 在 对 话 框 中 输入 相应 的 信息 ， 每 项 信息 的 含义 分 别 如 下 。 

e 用 户 名 : 在 此 处 输入 标识 用 户 帐 户 的 名 称 。 用 户 名 不 能 与 被 管理 的 计算 机 上 的 其 他 
用 户 名 或 组 名 相同 。 用 户 名 最 多 可 以 包含 除 下 列 字符 外 的 20 个 大 写字 符 或 小 写字 
符 :" 八 []:;|=,+*?<>@。 用 户 名 不 能 只 由 句点 (. 或 空格 组 成 。 

e 全 名 : 在 此 处 输入 用 户 的 完整 名 称 。 最 好 是 建立 全 名 的 标准 ， 以 便 总 是 以 姓 (Liang 
Dawei) 或 名 (Dawei Liang) 开 头 。 


。 描述 : 在 此 处 输入 描述 用 户 帐 户 或 用 户 的 任何 文本 。 

。 密码 : 在 此 处 输入 最 多 14 个 字符 的 密码 。 密 码 区 分 大 小 写 。 

e 确认 密码 : 在 此 处 再 次 输入 密码 以 确认 该 密码 。 

e “用 户 下 次 登录 时 须 更 改 密码 ” 复 选 框 : 指定 用 户 下 次 登录 时 是 否 必须 更 改 密码 。 

。 “用 户 不 能 更 改 密码 ” 复 选 框 : 指定 用 户 是 否 能 更 改 分 配 的 密码 。 通 常 只 在 帐户 由 
多 个 用 户 使 用 时 才 选 中 该 选项 , 例如 ，Guest 帐户 。 此 设置 对 Administrators 组 的 成 
员 没有 影响 。 

e “密码 水 不 过 期 ” 复 选 框 :指定 密码 是 否 永 不 过 期 ， 并 忽略 组 策略 的 “密码 ”策略 


中 的 “密码 最 长 期 限 ”设置 。 使 用 服务 分 配 诸如 目录 复制 器 这 样 的 服务 时 ， 请 选中 
此 选项 。 此 设置 将 忽略 “用 户 下 次 登录 时 须 更 改 密码 ”。 
e “帐户 已 禁用 ” 复 选 框 : 指定 是 否 禁用 选 定 的 帐户 。 
G3) 设置 完毕 后 ， 单 击 “ 创 建 ”按钮 即 可 创建 一 个 新 用 户 。 所 有 的 用 户 都 创建 完毕 后 ， 
单 击 “关闭 ”按钮 即 可 关闭 该 对 话 框 ， 返 回 到 计算 机 管理 工具 界面 。 
(4) 如 果 某 个 帐户 不 需要 了 ， 在 该 帐 名 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ” 命 
令 ， 如 图 1-61 所 示 。 选 择 该 命令 后 会 弹出 一 个 确认 对 话 框 ， 单 击 “ 是 ”按钮 即 可 删除 该 
用 户 。 
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GE 
文件 四。 大 作 内 ”得 要 多 ”天 助人 ) 
蚌 只 | 厅 富 [X 自 iB[ 


图 1-61 “计算 机 管理 ”窗口 
(5) 如 果 在 用 户 名 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “设置 密码 ”命令 ， 弹 出 提示 对 


话 框 ， 单 击 “ 继 续 ” 按 钮 ， 在 弹出 的 “设置 密码 ”对 话 框 中 输入 新 密码 ， 单 击 “ 确 定 ” 按 
钮 即 可 ， 如 图 1-62 所 示 。 


TE] 


如 果 您 单 而 " 取 月 ”， 密 玛 析 不 会 被 更 次 ,并且 将 不 会 竺 尖 救 所 > 
Cue |]_ mn | 
图 1-62 “设置 密码 ”对 话 框 


(6) 如 果 在 用 户 名 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 将 打开 该 用 户 的 
属性 对 话 框 ， 如 图 1-63 所 示 。 


es 性 EE 
| 
WM 


厂 宇和 来 不 过 财 2) 
厂 帖 户 已 叶 用 
FS 
CJ 


图 1-63 “常规 ”选项 卡 


(7) 当前 标签 栏 是 用 户 的 基本 信息 。 单 击 打开 “隶属 于 ”选项 卡 ， 如 图 1-64 所 示 ， 可 
以 在 其 中 设置 当前 用 户 属于 哪个 组 ， 从 而 实现 对 用 户 权限 的 设置 。 如 果 想 从 某 个 组 中 删除 
该 用 户 ， 选 中 该 组 ， 单 击 “删除 ”按钮 即 可 。 如 果 想 将 用 户 添加 到 某 个 组 中 ， 单 击 “ 添 加 ” 
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按钮 ， 从 弹出 的 对 话 框 中 选择 要 添加 的 组 即 可 。 


Es EE 
BW | | | 
a 28F | sexf | 5 | ac | 
这 
下 sw 
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图 1-64 “隶属 于 ”选项 卡 


(8) 设 着 完毕 后 ， 单 击 “ 确 定 ”按钮 退出 ， 返 回 到 计算 机 管理 界面 。 
1.6 系统 启动 故障 排除 


虽然 Windows Server 2008 是 目前 微软 公司 稳定 性 和 可 靠 性 最 好 的 操作 系统 ,但 是 仍然 
会 出 现 一 些 故 障 ， 较 小 的 故障 可 以 通过 重启 系统 解决 ， 较 大 的 故障 则 需要 重新 安装 系统 。 
对 于 一 般 故 障 ，Windows Server 2008 提供 一 些 启 动 模式 和 工具 来 解决 。 


1.6.1 启动 系统 


如 果 在 安装 驱动 或 进行 一 些 设置 时 Windows Server 2008 无 法 正常 使 用 , 可 以 考虑 使 用 
“最 近 一 次 的 正确 配置 ”功能 来 恢复 计算 机 至 正常 状态 。 具 体操 作 方法 如 下 : 

(1) 重新 启动 计算 机 ， 在 进入 系统 前 按 下 F8 键 ， 此 时 会 出 现 “ 高 级 启动 选项 ”界面 ， 
如 图 1-65 所 示 。 


图 1-65 “高 级 启动 选项 ”界面 


。36。 


Windows Server 2008 系统 管理 


(2) 使 用 上 下 方向 键 将 光标 移 至 “最 近 一 次 的 正确 配置 ”选项 上 ， 按 下 回 车 键 即 可 使 
用 正确 配置 启动 计算 机 。 需 要 注意 的 是 ， 该 功能 并 不 能 正确 判断 什么 样 的 配置 是 正确 的 ， 
什么 样 的 配置 是 错误 的 , 它 仅 仅 是 将 最 近 一 次 对 计算 机 进行 的 配置 (如 升级 硬件 ， 更 改 驱 动 
等 ) 取 消 ， 转 而 使 用 此 前 的 配置 。 因 此 该 功能 对 因为 系统 文件 或 驱动 程序 损坏 之 类 的 错误 是 
无 法 奏效 的 。 如 果 使 用 该 功能 后 计算 机 可 以 正常 使 用 ， 则 说 明 最 近 做 的 配置 和 操作 中 有 问 
题 ， 有 利于 管理 员 查 找 问题 所 在 。 但 是 由 于 “最 近 一 次 的 正确 配置 ”功能 是 取消 最 近 的 配 
置 ， 恢 复 以 前 的 配置 ， 而 且 只 能 恢复 注册 表 项 HKLMN\System\CurrentControlSet 中 的 信息 ， 
因此 它 不 是 万 能 的 ， 如 果 该 功能 不 起 作用 ， 则 可 以 尝试 “高 级 启动 选项 ”中 的 其 他 模式 。 


1.6.2 ”安全 模式 与 其 他 选项 


除了 “最 近 一 次 的 正确 配置 ”， 高 级 启动 选项 中 还 有 其 他 选项 ， 这 些 选 项 的 作用 分 别 


如 下 。 


安全 模式 : 安全 模式 是 Windows 的 故障 排除 选项 ， 该 模式 在 限制 状态 下 启动 计算 
机 。 仅 启动 运行 Windows 所 必需 的 基本 文件 和 驱动 程序 。 如 果 计 算 机 以 安全 模式 
启动 时 没有 再 出 现 现 有 问题 , 用 户 可 以 将 默认 设置 和 基本 设备 驱动 程序 排除 在 可 能 
的 故障 原因 之 外 。 如 果 不 知道 问题 的 原因 , 则 可 以 使 用 排除 进程 来 帮助 用 户 查 找 问 
题 。 尝 试 启动 所 有 常用 程序 ， 包 括 “ 启 动 ”文件 夹 中 的 程序 ， 依 次 查看 程序 是 否 出 
现 了 问题 ,如 果 计 算 机 在 未 出 现 提示 的 情况 下 ， 自 动 进入 安全 模式 ， 则 可 能 是 阻止 
Windows 正常 启动 的 问题 。 

网 络 安全 模式 ， 在 安全 模式 下 启动 Windows， 包 括 访问 Internet 或 网 络 上 的 其 他 
计算 机 所 需 的 网 络 驱动 程序 和 服务 。 

带 命 令 提 示 符 的 安全 模式 : 使 用 安全 模式 下 的 命令 提示 符 窗口 启动 Windows, 而 不 
是 通过 一 般 的 Windows 界面 启动 。 此 选项 适用 于 IT 专业 人 士 或 管理 员 。 

启用 启动 日 志 : 创建 一 个 ntbtlog.txt 文件 ， 列 出 在 启动 期 间 安装 的 所 有 驱动 程序 ， 
以 及 所 有 可 能 有 助 于 进行 高 级 故障 排除 的 驱动 程序 。 

启用 低 分 辩 率 视频 (640X 480): 启动 使 用 当前 视频 驱动 程序 和 低 分 辩 率 以 及 刷新 率 
设置 的 Windows。 使 用 此 模式 可 以 重 置 显示 设置 。 

目录 服务 还 原 模式 ， 启动 运行 Active Directory 的 Windows 域 控制 器 ， 可 以 还 原 目 
录 服 务 。 此 选项 适用 于 IT 专业 人 士 或 管理 员 。 

调试 模式 : 在 专 为 IT 专业 人 士 和 系统 管理 员 设 计 使 用 的 高 级 故障 排除 模式 下 ， 启 
动 Windows。 在 此 模式 下 ， 管 理 员 可 以 通过 串 行 线路 将 被 调试 的 计算 机 的 启动 信 
息 发 送 至 另 一 台 计 算 机 以 便 分 析 。 

禁用 系统 失败 时 自动 重新 启动 : 如 果 错 误导 致 Windows 启动 失败 , 则 阻止 Windows 
自动 重新 启动 。 仅 当 Windows 陷入 循环 状态 时 ， 即 Windows 启动 失败 ， 重 新 启动 
后 再 次 失败 ， 使 用 此 选项 。 
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e 禁用 强制 驱动 程序 签名 : 允许 安装 包含 了 不 恰当 签名 的 驱动 程序 。 需要 强制 安装 没 
有 通过 微软 公司 兼容 性 测试 的 驱动 程序 时 可 以 选择 此 种 启动 模式 ， 但 不 建议 使 用 。 
e 正常 启动 Windows: 在 正常 模式 下 启动 Windows。 


1.6.3 ”系统 的 备份 与 还 原 


使 用 高 级 启动 选项 只 能 修复 一 些 简单 错误 ， 或 作为 辅助 工具 帮助 管理 员 进行 故障 检 
测 ， 如 果 计 算 机 出 现 了 较 严重 的 系统 故障 ， 一 般 的 方法 是 无 能 为 力 的， 管理 员 面临 的 选择 
可 能 只 有 重新 安装 系统 了 。 但 是 安装 系统 耗 时 较 长 ， 尤 其 是 配置 服务 器 耗费 的 时 间 更 长 。 
如 果 管 理 员 能 够 做 到 经 常 给 系统 进行 备份 ， 当 出 现 问题 时 就 可 以 不 考虑 重新 安装 系统 和 重 
新 配置 ， 只 需要 将 正确 的 备份 恢复 即 可 。Windows Server 2008 系统 中 备份 与 还 原 的 具体 操 
作 方 法 如 下 : 

(1) Windows Server 2008 在 默认 状态 下 没有 安装 备份 工具 ， 需 要 管理 员 手 工 添加 。 打 
开 服务 器 管理 器 ， 选 择 左 侧 窗 口中 的 “功能 ”选项 ， 再 单 击 右 侧 窗口 中 的 “添加 ”选项 ， 
打开 “添加 功能 ”向 导 ， 如 图 1-66 所 示 。 


ED | | 
图 1-66 “选择 功能 ”界面 


(2) 选中 其 中 的 “Windows Server Backup 功能 ”, 该 功能 有 两 个 子 功能 , 其 中 “Windows 
Server Backup” 已 经 可 以 满足 基本 要 求 ，“ 命 令 行 工具 ” 则 允许 管理 员 在 命令 行 中 使 用 命 
令 对 系统 进行 备份 和 恢复 。 本 例 中 只 选择 “Windows Server Backup”， 这 也 是 “Windows 
Server Backup 功能 ”的 默认 选项 。 选 择 完 成 后 单 击 “ 下 一 步 ” 按 钮 ， 根 据 向 导 提示 即 可 完 
成 安装 。 上 有 具体 步 又 与 添加 角色 类 似 ， 这 里 不 再 著述 。 

(3) 安装 完毕 后 ， 依 次 选择 “开始 ”菜单 一 “管理 工具 ”一 “Windows Server Backup” 
命令 ， 打 开 备份 工具 窗口 ， 如 图 1-67 所 示 。 
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1-67 “Windows Server Backup” 界 面 


(4) 单 击 “ 一 次 性 备份 ”选项 ， 打 开 一 次 性 备份 向 导 ， 如 图 1-68 所 示 。 
(5) 目前 还 没有 设置 备份 计划 ， 因 此 只 能 选择 “不 同 选项 ”， 单 击 “ 下 一 步 ” 按 钮 ， 
进入 “选择 备份 配置 ”界面 ， 如 图 1-69 所 示 。 


人 人 
ano | mn Es | mm 
图 1-68 “备份 选项 ”界面 1-69 “选择 备份 配置 ”界面 


(6) 本 界面 有 两 个 选项 ， 选 中 “整个 服务 器 ”选项 则 将 备份 服务 器 上 所 有 的 内 容 ， 适 
合 第 一 次 做 备份 ， 但 是 备份 内 容 多 ， 信 息 量 大 ， 而 且 最 好 另 准备 一 块 硬盘 专门 用 于 备份 ; 
选中 “ 自 定义 ”选项 则 备份 指定 的 卷 (Windows Server 2008 的 磁盘 管理 器 中 没有 分 区 的 概 
念 , 可 以 将 卷 看 作 是 功能 更 强大 的 分 区 , 后面 章 节 会 有 详细 介绍 )。 本 例 中 选择 “ 自 定义 ”， 
然后 单 击 “ 下 一 步 ”按钮 ， 进 入 “选择 备份 项 目 ” 界 面 ， 如 图 1-70 所 示 。 
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1-70 “选择 备份 项 目 ” 界 面 
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(7) 在 “希望 备份 哪些 卷 ? ”列表 框 中 选中 要 备份 的 卷 ， 取 消 不 备份 的 卷 ， 单 击 “ 下 
一 步 ” 按 钮 ， 进 入 “指定 目标 类 型 ”界面 ， 如 图 1-71 所 示 。 
划 
3 weenie 
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图 1-71 “指定 目标 类 型 ”界面 


(8) 在 本 界面 中 可 以 选择 将 备份 文件 保存 于 本 地 硬盘 还 是 网 络 空间 中 ， 本 例 选择 “本 
地 驱动 器 ”选项 ， 如 果 选 择 “ 远 程 共享 文件 夹 ” 则 可 将 备份 文件 保存 于 其 他 计算 机 的 共享 
文件 夹 中 ， 前 提 是 两 台 计算 机 必须 网 络 通畅 并 设置 了 合适 的 权限 。 单 击 “ 下 一 步 ” 按 钮 ， 
进入 “选择 备份 目标 ”界面 ， 如 图 1-72 所 示 。 
SEERHETTEE | 
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eb 备份 顺 目 大 小 : 19 

dt 音 份 目 标 四 ) 到 

ss 各 从 目标 中 的 空间 24 
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(9) 本 界面 用 于 选择 将 备份 文件 保存 于 哪个 卷 中 ， 可 以 在 “备份 目标 ”下 拉 列 表 中 选 
择 ， 选 择 完 毕 后 单 击 “下 一 步 ” 按 钮 ， 进 入 “指定 高 级 选项 ”界面 ， 如 图 1-73 所 示 。 
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Ed| 
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(10) 如 果 管 理 员 使 用 其 他 方式 对 系统 进行 备份 ， 则 选择 “VSS 副本 备份 (推荐 )”， 如 
果 没 有 使 用 其 他 方式 对 系统 进行 备份 ， 则 选择 “VSS 完整 备份 ”。 两 者 的 最 大 区 别 在 于 如 
何 对 待 系统 中 的 应 用 程序 。 选 择 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “确认 ”界面 ， 如 果 
对 当前 设置 满意 不 再 需要 修改 ， 则 单 击 界面 中 的 “备份 ” 按钮， 等待 几 分 钟 后 ， 备 份 完成 。 

(11) Windows Server 2008 提供 了 两 种 备份 模式 。 在 “Windows Server Backup” 管 理 界 
面 右 侧 选 择 “ 配 置 性 能 设置 ”选项 ， 打 开 “ 优 化 备份 性 能 ”对 话 框 ， 如 图 1-74 所 示 。 


EE 
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此 选项 会 降低 备份 的 速度 ， 但 不 会 影响 整体 性 能 。 
三 始终 执行 增 量 备份 ) 


C 自宅 Xm 


使 用 此 选项 ， 可 以 将 每 个 巷 单 各 了 置 为 运行 寺 整 备份 或 增 量 备份 。 
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(12) Windows Server 2008 中 的 两 种 备份 模式 ， 一 是 完整 备份 模式 ， 该 模式 下 备份 工具 
将 备份 系统 中 所 有 的 信息 ， 备 份 内 容 完 整 ， 但 是 信息 量 大 ， 占 用 磁盘 空间 较 大 ， 一 般 用 于 
对 系统 的 第 一 次 备份 ， 二 是 增 量 备份 模式 ， 该 模式 下 备份 工具 只 备份 自 上 次 备份 后 系统 修 
改 的 部 分 ， 备 份 内 容 少 ， 但 是 信息 量 小 ， 占 用 磁盘 空间 较 少 ， 一 般 用 于 完整 备份 后 系统 再 
被 更 改 的 备份 。 管 理 员 可 以 根据 需要 ， 适 当 设置 “优化 备份 性 能 ”对 话 框 中 的 选项 。 选 择 
完毕 后 ， 单 击 “确定 ”按钮 ， 下 次 备份 时 设置 生效 。 
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(13) Windows Server 2008 还 提供 了 自动 备份 的 功能 。 在 “Windows Server Backup” 管 
理 界面 中 选择 “备份 计划 ”选项 ， 打 开 备 份 计划 向 导 ， 如 图 1-75 所 示 。 
| 
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图 1-75 备份 计划 向 导 欢迎 界面 


(14) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “选择 备份 配置 ”界面 ， 如 图 1-76 所 示 。 在 该 界面 
中 设置 是 对 整个 服务 器 进行 备份 还 是 只 对 某 些 卷 进行 备份 。 如 果 选 择 了 “ 自 定义 ”选项 ， 
还 要 指定 要 备份 的 卷 。 
一 
2 i 
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< 上 - 步 FP) Bd 取消 


1-76 “选择 备份 配置 ”界面 


(15) 选择 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “指定 备份 时 间 ” 界 面 ， 如 图 1-77 所 
示 。 在 该 界面 中 可 以 选择 以 什么 样 的 频率 进行 自动 备份 。 
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(16) 设置 备份 频率 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “选择 目标 磁盘 ”界面 ， 如 图 
1-78 所 示 。 如 果 该 界面 中 没有 显示 任何 可 用 的 磁盘 ， 单 击 “ 显 示 所 有 可 用 磁盘 ”按钮 ， 在 
弹出 的 对 话 框 中 选择 作为 备份 的 目标 磁盘 。 


如 备份 计划 向 导 志 
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ED 
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(17) 选 好 磁盘 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 会 弹出 一 个 对 话 框 提 示 要 将 该 磁盘 格式 化 ， 
单 击 “ 是 ”按钮 ， 进 入 “标记 目标 磁盘 ”界面 ， 如 图 1-79 所 示 。 

(18) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “确认 ”界面 ， 单 击 “ 完 成 ”按钮 ， 开 始 格式 化 目标 
磁盘 ， 等 待 几 分 钟 后 完成 配置 。 

(19) 备份 计划 完成 后 ， 计 算 机 将 自动 根据 计划 和 备份 模式 设置 对 系统 进行 备份 。 

(20) 如 果 计 算 机 出 现 故 障 , 可 以 通过 恢复 备份 将 系统 还 原 到 正确 的 状态 。 在 “Windows 
Server Backup” 管 理 器 中 选择 “恢复 ”选项 ， 打 开 恢复 向 导 ， 如 图 1-80 所 示 。 
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43 。 


ET 
图 1-79 “标记 目标 磁盘 ”界面 


图 1-80 ”恢复 向 导 欢 迎 界面 
(21) 在 该 界面 中 选择 为 哪个 服务 器 恢复 备份 ， 此 处 选择 “此 服务 器 ”， 即 恢复 本 机 的 
备份 。 选 择 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “选择 备份 日 期 ”界面 ， 如 图 1-81 所 示 。 
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ED 
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1-81 “选择 备份 日 期 ”界面 


(22) 该 界面 中 以 日 期 标明 备份 ， 凡 是 做 过 备份 的 日 期 均 以 蓝 底 白 字 显 示 。 如 果 一 天 中 
有 多 次 备份 ， 则 以 备份 时 间 加 以 区 分 。 选 择 要 恢复 的 备份 , 单 击 “下 一 步 ” 按 钮 进入 “ 选 
择 恢复 类 型 ”界面 ， 如 图 1-82 所 示 。 


尼 起 刘 恢 和 类 型 


《tsoj [30 SN | 9 
图 1-82 “选择 恢复 类 型 ”界面 


(23) 在 本 界面 中 选择 需要 恢复 的 内 容 ， 如 果 选 中 “文件 和 文件 夹 ” 单 选 按钮 ， 可 以 指 
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定 恢复 某 些 文件 和 文件 夹 ;如果 选中 “应 用 程序 ” 单 选 按钮 ， 可 以 恢复 一 些 应 用 程序 ， 如 
果 选 中 “ 卷 ” 单 选 按钮 ， 可 以 将 整个 卷 的 内 容 进行 恢复 。 此 处 选中 “ 卷 ” 单 选 按钮 ， 单 击 
“下 一 步 ”按钮 ， 进 入 “选择 卷 ” 界 面 ， 如 图 1-83 所 示 。 
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图 1-83 “选择 卷 ” 界面 


(24) 选中 要 恢复 的 卷 ， 单 击 “ 下 一 步 ”按钮 进入 确认 界面 ， 单 击 其 中 的 “恢复 ”按钮 ， 
等 待 几 分 钟 即 可 恢复 完毕 。 


1.7 本 章 小 结 


通过 本 章 学 习 , 读者 可 以 掌握 选择 正确 的 Windows Server 2008 版 本 的 标准 , 安装 系统 
的 方法 和 流程 ， 并 能 对 安装 好 的 系统 做 简单 的 设置 ， 为 以 后 的 使 用 做 好 铺垫 。 本 章 主 要 包 
括 以 下 内 容 : 

(1) Windows Server 2008 的 版 本 和 新 特性 : 本 节 介绍 了 Windows Server 2008 针对 不 同 
的 应 用 市 场 、 硬 件 配 置 和 处 理 器 类 型 所 对 应 的 不 同 版 本 ， 它 们 具有 多 种 新 特性 ， 用 户 可 以 
根据 自己 的 需要 选择 不 同 的 功能 和 版 本 ， 以 便 在 有 限 的 成 本 中 最 大 限度 地 满足 自身 需求 。 

(2) Windows Server 2008 的 安装 : 本 节 介绍 了 Windows Server 2008 的 多 种 安装 方式 ， 
其 中 最 主要 的 是 全 新 安装 和 升级 安装 ， 有 特殊 需要 的 可 以 采用 Server Core 安装 模式 ， 用户 
可 以 根据 自身 条 件 选择 合适 的 安装 方式 。 

(3) Windows Server 2008 的 基本 配置 : 本 节 介 绍 了 配置 Windows Server 2008 的 桌面 、 
计算 机 名 、 卫 地 址 、 防 火 墙 和 连接 网 络 的 方法 。 

(4) Windows Server 2008 的 管理 ， 本 节 介 绍 了 在 Windows Server 2008 中 添加 和 删除 角 
色 的 方法 ， 使 用 控制 台 的 方法 ， 用 户 和 用 户 组 的 概念 和 使 用 方法 。 

(5) Windows Server 2008 的 初步 使 用 : 本 节 介 绍 了 Windows Server 2008 的 基本 使 用 方 
法 ， 包 括 开 机 、 关 机 、 注 销 等 常用 操作 。 

(6) Windows Server 2008 启动 故障 排除 ， 本 节 介绍 了 Windows Server 2008 在 出 现 故 障 
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时 可 以 使 用 的 简单 处 理 方法 ， 以 及 如 何 为 服务 器 创建 备份 和 使 用 备份 。 
1.8 思考 与 练习 


思考 题 】 
1. Windows Server 2008 的 Server Core 模式 与 普通 的 图 形 界面 相 比 有 何 优势 ? 为 什么 ? 
2. 如 果 用 户 的 服务 器 硬件 和 操作 系统 均 支 持 虚 拟 化 技术 , 这 项 技术 相 比 以 往 传统 计算 
机 系统 ， 能 够 让 用 户 在 Windows Server 2008 的 网 络 管理 中 做 出 哪些 调整 ? 
3. 假设 有 一 台 服 务 器 ， 已 经 安装 了 Windows Server 2003 操作 系统 ， 但 是 漏洞 百出 ， 
现在 需 将 其 升级 至 Windows Server 2008， 采 取 全 新 安装 还 是 升级 安装 合适 ? 为 什么 ? 


【练习 题 】 
1. Windows Server 2008 有 哪些 版 本 ? 各 有 什么 特点 ? 
2. Windows Server 2008 有 哪些 安装 方式 ， 分 别 适用 于 什么 情况 ? 
3. 在 Windows Server 2008 中 ， 如 何 安装 服务 器 的 角色 ? 
4. 在 Windows Server 2008 中 ， 如 何 创建 和 删除 帐户 ? 
5. Windows Server 2008 的 启动 高 级 选项 有 哪些 ? 
6. Windows Server 2008 有 哪 几 种 备份 模式 ? 
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【本 章 导读 】 
文件 服务 是 Windows Server 2008 所 提供 的 基本 服务 之 一 .文件 服务 提供 了 有 助 于 管理 
存储 、 启 用 文件 复制 、 管 理 共享 文件 夹 、 确 保 快速 搜索 文件 等 功能 的 相关 技术 ; 通过 对 共 
享 文件 夹 的 管理 能 够 确保 用 户 可 以 合适 的 身份 、 从 合适 的 位 置 、 在 合适 的 权限 控制 下 访问 
这 些 文件 ; 通过 分 布 式 文件 系统 将 分 散 的 文件 共享 集成 到 单独 的 逻辑 命名 空间 中 进行 管理 ， 
并 使 跨 局 域 网 或 广域网 网 络 连 接 的 多 台 服 务 器 上 的 文件 夹 能 够 实现 同步 。 


2.1 文件 服务 与 资源 共享 


2.1.1 安装 文件 服务 器 


文件 服务 功能 是 通过 在 Windows Server 2008 中 安装 文件 服务 器 实现 的 ,安装 文件 服务 
器 的 步骤 如 下 : 

(1) 在 “服务 器 管理 器 ”中 的 “角色 ”对 象 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “添加 
角色 ”命令 ， 启 动 “ 添 加 角色 向 导 ”。 

(2) 在 “添加 角色 向 导 ” 对 话 框 的 “选择 服务 器 角色 ”界面 中 ， 系 统 会 列 出 Windows 
Server 2008 系统 所 支持 的 所 有 角色 类 型 ， 如 图 2-1 所 示 ， 选 中 其 中 的 “文件 服务 ”选项 ， 
然后 单 击 “ 下 一 步 ” 按 钮 。 


-$0 2 一 


图 2-1 添加 “文件 服务 ”角色 
(3) 随后 出 现 的 是 文件 服务 的 简要 说 明 信 息 及 安装 文件 服务 的 注意 事项 ， 并 给 出 了 文 
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件 服务 相关 概念 的 帮助 信息 链接 ， 如 图 2-2 所 示 。 
(4) 接 下 来 在 “添加 角色 向 导 ” 对 话 框 的 “选择 角色 服务 ”界面 中 选择 需要 为 “文件 
服务 ”安装 的 “角色 服务 ”种 类 ， 如 图 2-3 所 示 ， 在 此 可 根据 需要 进行 选择 。 


到 


图 2-2 “文件 服务 ”设置 界面 


G7 Eu mn 


图 2-3 “选择 角色 服务 ”界面 


e “文件 服务 器 ”用 于 管理 共享 文件 夹 并 确保 用 户 能 够 通过 网 络 进行 文件 访问 。 这 是 
“文件 服务 ”的 基本 内 容 。 

e “分布 式 文件 系统 ”(Distributed File System，DFS) 能 够 为 DFS 命名 空间 和 DFS 复 
制 提供 工具 和 服务 。 如 选择 此 项 ， 则 “添加 角色 向 导 ” 会 在 后 续 步骤 中 提示 用 户 进 
行 DFS 命名 空间 的 相关 设置 。 

e “文件 服务 器 资源 管理 器 ”用 于 生成 存储 报告 、 配 置 配额 ， 并 定义 文件 屏 菩 策略 。 
如 选择 此 项 ， 则 “添加 角色 向 导 ” 会 在 后 续 步 骤 中 提示 用 户 设置 存储 监视 的 对 象 和 

e。 “网 络 文件 系统 服务 ”提供 针对 UNIX 客户 端 计 算 机 的 连通 性 并 授予 文件 访问 的 


权限 。 
。 “Windows 搜索 服务 ”能 够 对 文件 建立 索引 ,以便 为 客户 端 连接 共享 文件 提供 更 快 
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的 搜索 速度 。 如 选择 此 项 ， 则 “添加 角色 向 导 ” 会 在 后 续 步 骤 中 提示 用 户 对 用 于 承 
载 共 享 文件 夹 的 本 地 磁盘 创建 索引 。 需 要 注意 的 是 ， 不 能 在 同一 台 计算 机 上 安装 
“Windows 搜索 服务 ”和 “索引 服务 ”。 因 为 这 两 种 索引 解决 方案 在 主动 对 卷 和 
文件 夹 编制 索引 时 会 消耗 系统 资源 , 同时 运行 这 两 种 解决 方案 可 能 会 严重 影响 系统 
性 能 。 

e “Windows Server 2003 文件 服务 ”能 够 提供 与 Windows Server 2003 兼容 的 服务 ， 

包括 文件 复制 服务 和 索引 服务 。 

(5) 根据 用 户 在 前 一 步骤 中 所 选择 的 “角色 服务 ”种 类 ， 向 导 会 相应 地 引导 用 户 进行 
相关 的 设置 。 完 成 设置 后 ， 向 导 会 跳 转 至 “确认 安装 选择 ”界面 ， 如 图 2-4 所 示 ， 显 示 了 
前 面 步骤 中 所 选择 的 “角色 服务 ”类 型 和 相关 的 参数 设置 情况 ， 以 便 用 户 在 正式 安装 前 作 
最 后 的 审核 。 需 要 注意 的 是 ， 如 果 用 户 选择 了 “DFS 复制 服务 ”， 则 必须 保证 该 服务 器 已 
经 加 入 到 域 中 ， 否 则 就 会 出 现 图 2-4 中 所 示 的 警告 信息 提示 。 


图 2-4 “确认 安装 选择 ”界面 


(6) 单 击 “ 安 装 ”按钮 ， 开 始 安装 文件 服务 器 。 安 装 完成 后 ， 会 显示 如 图 2-5 所 示 的 
“安装 结果 ”界面 ， 并 在 列表 中 显示 安装 结果 及 检测 到 的 问题 。 


图 2-5 “安装 结果 ”界面 


第 2 章 文件 服务 “49。 


(7) 单 击 “ 关 闭 ”按钮 ， 完 成 “添加 角色 向 导 ” 的 整个 过 程 ， 返 回 到 “服务 器 管理 器 ” 
窗口 。 此 时 可 以 看 到 “服务 器 管理 器 ”窗口 中 的 提示 信息 表明 文件 服务 器 已 经 安装 完成 并 
开始 提供 服务 ， 如 图 2-6 所 示 。 注 意 : “文件 服务 ”前 的 警告 标志 表明 DFS 复制 服务 无 法 连 
接 到 域 控制 器 以 访问 配置 信息 ， 因 此 无 法 开始 复制 。 此 问题 可 以 通过 在 安装 Active Directory 
域 服务 和 DNS 服务 器 时 进行 相关 的 参数 设置 解决 。 
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图 2-6 安装 文件 服务 后 的 服务 器 管理 器 


2.1.2 设置 资源 共享 


资源 共享 是 计算 机 网 络 最 重要 的 功能 之 一 。 网 络 中 的 许多 重要 资源 常常 需要 让 许多 具 
有 权限 的 用 户 通过 网 络 进 行 共享 访问 ， 这 样 不 但 能 够 有 效 节约 费用 ， 而 且 还 能 大 大 提升 日 
常 工 作 效 率 。 但 是 资源 共享 如 果 没 有 进行 细致 的 规划 和 谨慎 的 管理 ， 也 往往 会 成 为 网 络 入 
侵 的 主要 通道 。 为 了 提高 安全 性 ， 如 果 要 为 某 个 用 户 提供 文件 共享 ， 必 须 先 针对 文件 夹 设 
息 共 享 ， 然 后 再 为 用 户 分 配 相 应 的 访问 权限 。 

在 Windows Server 2008 系统 中 设置 资源 共享 可 以 通过 服务 器 管理 器 实现 , 也 可 通过 简 
单 文件 夹 共享 方式 实现 ， 下 面 分 别 进 
行 介绍 。 


1. 通过 服务 器 管理 器 实现 


在 文件 服务 器 中 设置 资源 共享 打 
开 “ 服 务 器 管理 器 ”， 依 次 展开 “和 角 
色 ” 和 “文件 服务 ”， 选 择 “ 文 件 服 
务 ” 中 的 “共享 和 存储 管理 ”， 此 时 
窗口 中 部 就 会 列 出 当前 系统 中 所 共享 
的 文件 夹 列表 ， 如 图 2-7 所 示 。 


a 


图 2-7 服务 器 管理 器 中 的 共享 和 存储 管理 
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单 击 窗口 右 部 “操作 ”区 域 的 “设置 共享 ”链接 ， 弹 出 如 图 2-8 所 示 的 “设置 共享 文 
件 夹 向 导 ” 对 话 框 。 


0 = 


图 2-8 “设置 共享 文件 夹 向 导 ” 对 话 框 


在 “设置 共享 文件 夹 向 导 ” 对 话 框 的 “共享 文件 夹 位 置 ”界面 ， 通 过 “浏览 ”按钮 或 
直接 在 文本 框 中 输入 文件 夹 地 址 来 选 定 要 进行 共享 设置 的 文件 夹 ， 然 后 单 击 “ 下 一 步 ” 
按钮 。 

在 “NTFS 权限 ”界面 中 根据 需要 选择 是 否 要 更 改 文 件 夹 的 NTFS 权限 。 指 定 NTFS 
权限 可 以 控制 具体 用 户 和 用 户 组 在 本 地 访问 文件 夹 (NTFS 权限 的 设 定 请 参阅 下 节 内 容 ), 网 
络 中 的 用 户 访问 此 共享 文件 夹 时 ， 系 统 会 以 登录 用 户 的 权限 来 控制 对 共享 文件 夹 的 访问 。 

在 接 下 来 的 “共享 协议 ”界面 中 可 以 逐一 选择 可 供用 户 访 问 共享 文件 夹 的 协议 有 SMB 
和 NFS( 必 须 在 服务 器 上 安装 网 络 文件 系统 服务 方 可 选中 该 项 ) 两 种 方式 可 供 选 择 。 

如 选择 通过 “SMB” 共 享 协 议 方式 共享 文件 夹 ， 则 在 接 下 来 的 “SMB 设置 ”界面 中 还 
需要 给 共享 文件 夹 添 加 相应 的 描述 ， 并 进行 相关 的 高 级 设置 ， 如 指定 能 同时 访问 共享 文件 
夹 的 用 户 数量 限制 等 ， 如 图 2-9 所 示 。 
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2-9 ”设置 共享 文件 夹 向 导 -SMB 设置 


接 下 来 还 需要 在 “SMB 权限 ”界面 中 为 基于 SMB 的 共享 文件 夹 访 问 指定 共享 权限 ， 
如 图 2-10 所 示 。 可 以 通过 选择 某 个 单 选 按钮 选项 来 为 所 有 用 户 或 用 户 组 指定 统一 的 访问 权 
限 ， 也 可 以 在 选中 “用 户 和 组 具有 自 定 义 共享 权限 ” 单 选 按钮 后 单 击 “权限 ”按钮 ， 针 对 
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特定 的 用 户 或 用 户 组 进行 单独 的 访问 权限 设置 。 


在 下 一 步骤 中 可 以 将 共享 文件 夹 发 布 到 现 有 的 DFS 命名 空间 中 , 并 指定 该 文件 夹 在 命 
名 空间 中 的 新 名 称 如 图 2-11 所 示 。 
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图 2-10 设置 共享 文件 夹 向 导 -SMB 权限 图 2-11 设置 共享 文件 夹 向 导 -DFS 命名 空间 发 布 


在 “复查 设置 并 创建 共享 ”界面 中 可 以 集中 审查 在 前 述 各 步骤 中 所 作 的 设置 。 如 有 需 
要 修改 的 地 方 ， 可 以 单 击 对 话 框 左 侧 的 步骤 链接 返回 到 相应 的 步骤 进行 修改 ， 如 果 没有 问 
题 ， 则 可 单 击 “ 创 建 ”按钮 开始 共享 文件 夹 的 设置 ， 完 成 后 “设置 共享 文件 夹 向 导 ” 对 话 
框 会 自动 跳 转 到 “确认 ”界面 , 提示 用 户 相 关 的 文件 夹 共 享 设置 已 经 完成 , 如 图 2-12 所 示 ， 
此 时 单 击 “ 关 闭 ” 按 钮 即 可 完成 共享 文件 夹 设置 过 程 。 在 “共享 和 存储 管理 ”窗口 中 部 可 
立刻 看 到 刚才 设置 的 共享 文件 夹 已 经 被 添加 到 共享 文件 夹 列表 中 。 


Ce 


图 2-12 设置 共享 文件 夹 向 导 -确认 


2. 通过 简单 文件 夹 共享 方 式 实现 


在 需要 进行 共享 的 文件 夹 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “共享 ”菜单 项 (或 单 击 文 
件 夹 所 在 的 窗口 上 方 的 “共享 ”按钮 )， 弹 出 “文件 共享 ”对 话 框 ， 如 图 2-13 所 示 。 

在 “文件 共享 ”对 话 框 中 输入 想 要 共享 的 用 户 或 用 户 组 名 称 ， 然 后 单 击 “ 添 加 ”按钮 
(如 果 不 清楚 用 户 名 ， 也 可 以 通过 下 拉 框 中 的 “查找 ”项 进行 查找 )， 新 的 共享 用 户 或 用 户 
组 就 会 添加 到 对 话 框 下 部 的 用 户 列表 中 ， 如 图 2-14 所 示 。 在 此 列表 中 还 可 以 进一步 确定 用 户 
的 共享 权限 级 别 。Windows Server 2008 提供 给 共享 用 户 或 用 户 组 的 权限 级 别 共有 以 下 3 种 。 
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图 2-13 “文件 共享 ”对 话 框 图 2-14 选择 共享 用 户 
. 


读者 ， 限制 共享 用 户 或 组 只 能 查看 共享 文件 夹 中 的 文件 。 
参与 者 :允许 共享 用 户 或 组 查看 所 有 文件 、 添 加 文件 ， 以 及 更 改 或 删除 其 所 添加 的 
文件 。 

。 共有 者 : 允许 共享 用 户 或 组 查看 、 更 改 、 添 加 和 删除 共享 文件 夹 中 的 文件 。 

需要 注意 的 是 ， 如 果 共 享 的 是 文件 而 不 是 文件 夹 ， 则 不 能 选择 将 权限 级 别 设置 为 “ 参 
与 者 ”。 

添加 好 共享 用 户 或 用 户 组 并 指定 相应 的 权限 级 别 以 后 ， 单 击 “ 共 享 ”按钮 ， 经 过 短暂 
的 时 间 后 ， 就 会 看 到 文件 夹 已 共享 的 提示 信息 ， 如 图 2-15 所 示 ， 网 络 中 的 授权 用 户 就 可 以 
通过 提示 信息 中 的 地 址 访问 这 个 共享 资源 了 。 
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2-15 文件 共享 提示 信息 


2.1.3 ”访问 网 络 共享 资源 


资源 共享 的 目的 就 是 为 了 使 用 户 能 够 方便 地 通过 网 络 访问 文件 资源 。 用 户 可 通过 多 种 
方式 访问 网 络 共享 资源 。 主 要 有 以 下 4 种 。 
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(D 通过 网 上 邻居 访问 
位 于 同一 个 工作 组 或 域 的 计算 机 上 的 共享 资源 都 会 显示 在 “网 上 邻居 ”当中 ， 如 果 用 
户 拥有 相应 的 访问 权限 , 即 可 实现 对 该 共享 资源 (文件 或 打印 机 等 ) 的 访问 , 如 图 2-16 所 示 。 


图 2-16 通过 “网 上 邻居 ”访问 共享 资源 


(2) 通过 搜索 计算 机 访问 

如 果 网 上 邻居 中 没有 显示 出 包含 网 络 共享 资源 的 服务 器 ， 则 可 以 通过 “搜索 ”功能 进 
行 查找 。 打 开 搜 索 对 话 框 后 ， 在 “搜索 其 他 项 ”位 置 选中 “计算 机 ”， 在 “计算 机 名 ” 文 
本 框 中 输入 要 搜索 的 服务 器 的 名 称 或 他 地 址 ， 然 后 单 击 “ 立 即 搜索 ”按钮 ， 系 统 即 可 在 当 
前 网 络 中 搜索 指定 的 计算 机 并 将 搜索 结果 显示 在 对 话 框 右 侧 ， 如 图 2-17 所 示 。 用 户 可 以 通 
过 单 击 搜索 结果 对 服务 器 进行 连接 进而 访问 服务 器 上 的 共享 资源 。 当 然 这 也 要 求 访问 者 有 
正确 的 用 户 身份 和 适当 的 访问 权限 。 
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2-17 搜索 计算 机 访问 共享 资源 


(3) 通过 映射 网 络 驱动 器 访问 

前 述 方式 都 需要 用 户 记 住 共享 资 源 所 在 的 服务 器 名 称 和 共享 文件 夹 的 名 字 ， 如 果 需 要 
经 常 访问 共享 资源 ， 这 样 就 会 比较 麻烦 ， 映 射 网 络 驱 动 器 刚好 能 解决 这 个 问题 。 它 能 够 使 
用 户 对 网 络 共享 资源 的 访问 就 像 对 本 地 驱动 器 的 访问 一 样 方便 。 

在 “我 的 电脑 ”窗口 的 “工具 ”菜单 下 选择 “映射 网 络 驱动 器 ”命令 ， 就 会 弹出 如 图 
2-18 所 示 的 “映射 网 络 驱动 器 ”对 话 框 。 在 “驱动 器 ”下 拉 列 表 中 选择 一 个 当前 未 被 使 用 
的 英文 字母 作为 网 络 驱动 器 的 盘 符 ， 在 “文件 夹 ”文本 框 中 以 “\\ 服 务 器 名 称 \ 共 享 文件 来 
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名 称 ” 的 格式 输入 服务 器 名 称 和 共享 文件 夹 名 称 。 如 果 当 前 的 用 户 身份 没有 合适 的 访问 权 
限 ， 则 需要 单 击 “ 其 他 用 户 名 ”链接 ， 在 随后 弹出 的 “连接 身份 ”对 话 框 中 输入 能 够 访问 
共享 资源 的 用 户 名 以 及 密码 ， 如 图 2-19 所 示 。 设 置 完 成 后 ， 单 击 “ 确 定 ”按钮 ， 系 统 即 可 
将 网 络 共享 资源 映射 为 一 个 指定 的 驱动 器 ， 与 C:、D: 等 本 地 驱动 器 一 样 放 在 “我 的 电脑 ” 
窗口 中 ， 如 图 2-20 所 示 。 


用 P 名 DD @ AED\adninistrator 
密码 


图 2-18 “映射 网 络 驱 动 器 ”对 话 框 图 2-19 “连接 身份 ”对 话 框 


(4) 通过 地 址 栏 访问 

还 有 一 种 更 为 便捷 的 访问 方法 , 就 是 直接 通过 “我 的 电脑 ”或 “Windows 资源 管理 器 ” 
(或 任何 一 个 附带 地 址 栏 的 ) 窗 口 ， 在 地 址 栏 (如 果 地 址 栏 没 有 显示 出 来 ， 可 以 通过 “查看 ” 
一 “工具 栏 ” 一 “地 址 栏 ” 荣 单项 使 其 显示 ) 中 直接 以 “\\ 服 务 器 名 称 \ 共 享 文件 夹 名 称 ” 的 
格式 输入 服务 器 名 称 和 共享 文件 夹 名 称 ， 就 可 以 访问 共享 资源 了 ， 如 图 2-21 所 示 。 当 然 前 
提 也 是 用 户 须 具备 访问 服务 器 和 共享 文件 夹 的 有 效 权限 。 


图 2-21 通过 地 址 栏 访问 资源 


共享 资源 的 访问 必须 经 过 严格 的 身份 认证 和 权限 审核 ， 除 此 以 外 ， 服 务 器 管理 员 还 可 
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以 随时 监控 网 络 用 户 对 共享 资源 的 访问 情况 ， 包 括 当前 正在 访问 共享 资源 的 用 户 身份 、 主 
机 下 地址 、 操 作 系 统 类 型 、 打 开 文件 数量 、 连 接 时 间 及 空闲 时 间 等 信息 ， 如 图 2-22 所 示 ， 
如 有 必要 ， 管 理 员 还 可 以 随时 中 断 特 定 用 户 对 共享 资源 的 访问 ， 中 止 其 连接 。 


图 2-22 “管理 会 话 ” 对 话 框 


2.2 NTFS 权限 


2.2.1 NTFS 权限 概述 


NTFS 全 称 为 New Technology File System, 是 微软 公司 从 Windows NT 3.1 起 的 各 版 本 
Windows 系列 操作 系统 ， 包 括 Windows Server 2008、Windows Vista 和 Windows 7 等 所 采 
用 的 标准 文件 系统 。NTFS 拥有 许多 先进 的 技术 特性 ， 并 且 使 用 了 高 级 数据 结构 ， 支 持 数 
据 压缩 和 磁盘 限额 ,可 以 改善 磁盘 性 能 、 可 靠 性 和 空间 利用 率 ， 并 通过 加 密 文件 系统 (EFS) 
提供 对 NTFS 卷 上 任意 文件 和 文件 夹 的 用 户 透明 的 强 保护 。 

NTFS 权限 是 NTFS 提供 的 用 于 文件 系统 安全 的 重要 特性 。 利 用 NTFS 权限 ， 管 理 员 
可 以 完全 控制 用 户 或 用 户 组 对 每 个 文件 和 文件 夹 的 访问 。NTFS 权限 只 适用 于 采用 NTFS 
文件 系统 的 磁盘 分 区 ， 而 不 能 用 于 FAT 或 FAT32 文件 系统 。 要 想 访问 NTFS 磁盘 分 区 上 
的 文件 或 文件 夹 ， 用 户 必 须 拥 有 相应 的 NTFS 权限 。 对 于 NTFS 磁盘 分 区 上 的 每 一 个 文件 
及 文件 夹 ，NTFS 都 存储 一 个 访问 控制 列表 (Access Control Lists，ACL)。 访 问 控制 列表 中 
包含 了 被 授权 访问 该 文件 或 文件 夹 的 所 有 用 户 、 用 户 组 及 计算 机 的 信息 ， 还 包含 了 其 被 授 
予 的 访问 类 型 。 

NTFS 文件 权限 有 以 下 5 种 。 

读 取 : 允许 用 户 读 取 文件 的 数据 ， 查 看 文件 的 所 有 者 、 属 性 和 权限 信息 。 

写 入 : 允许 用 户 改 写 文件 内 容 、 更 改 文件 属性 及 查看 文件 的 所 有 者 和 权限 。 

读 取 和 执行 :使 用 户 拥有 “ 读 取 ” 的 所 有 权限 ， 并 可 以 运行 应 用 程序 。 

e 修改 : 允许 用 户 拥有 “ 读 取 ”、“ 写 入 ”和 “ 读 取 和 运行 ”的 所 有 权限 ， 并 可 以 修 
改 、 删 除 文件 。 

e 完全 控制 : 允许 用 户 拥有 对 该 文件 的 完全 控制 ， 即 前 述 的 所 有 权限 ， 并 可 以 更 改 现 
有 权限 设置 和 取得 所 有 权 的 权限 。 
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NTFS 文件 夹 权 限 有 以 下 6 种 。 

。 读 取 : 允许 用 户 查看 文件 夹 内 的 文件 和 子 文件 夹 , 查看 文件 夹 属性 、 权限 和 所 有 者 信息 。 

e 写 入 : 允许 用 户 在 文件 夹 内 创建 新 文件 和 子 文件 夹 ， 改 变 文件 夹 属性 ， 查 看 文件 夹 
的 权限 和 所 有 者 。 

e 列 出 文件 夹 目 录 : 使 用 户 拥有 “ 读 取 ”的 所 有 权限 ， 同 时 还 具有 “遍历 子 文件 夹 ” 
的 权限 ， 以 便 能 够 进入 子 文件 夹 并 查看 其 内 容 。 

e 读 取 和 执行 : 使 用 户 拥有 “ 读 取 ”和 “ 列 出 文件 夹 目 录 ” 的 所 有 权限 ， 不 过 在 继承 
方面 有 所 不 同 : “ 列 出 文件 夹 目 录 ” 权 限 仅 由 文件 夹 继承 ，“ 读 取 和 执行 ”权限 由 
文件 和 文件 夹 同时 继承 。 

e 修改 : 使 用 户 拥有 “ 写 入 ”和 “ 读 取 和 执行 ”的 所 有 权限 ， 并 可 以 删除 文件 夹 。 

e 完全 控制 : 允许 用 户 拥 有 对 该 文件 夹 的 所 有 权限 ， 并 可 以 更 改 现 有 权限 设置 和 取得 
所 有 权 的 权限 。 


2.2.2 NTFS 权限 的 设置 


在 NTFS 磁盘 分 区 中 ， 系 统 会 自动 为 所 有 文件 和 文件 夹 设 置 默认 的 权限 值 ， 文 件 夹 的 
权限 又 会 被 其 子 文件 夹 和 文件 所 继承 。 一 般 的 用 户 是 不 能 修改 文件 或 文件 夹 的 NTFS 权限 
的 , 只 有 Administrators 用 户 组 的 成 员 、 文件 或 文件 夹 的 所 有 者 、 具 有 对 该 文件 或 文件 夹 “ 完 
全 控制 ”权限 的 用 户 才 可 以 修改 或 重新 指定 NTFS 权限 。 

尽管 可 以 分 别 对 文件 和 文件 夹 设置 NTFS 权限 ， 但 为 了 管理 方便 ， 通 常 不 直接 为 文件 
设置 权限 ， 而 是 将 需要 设置 为 相同 权限 的 文件 放置 到 同一 个 文件 夹 中 ， 然 后 对 该 文件 夹 设 
秆 权限 。 


1. 设置 NTFS 文件 夹 的 权限 : 


在 欲 设置 NTFS 文件 夹 权 限 的 文件 夹 上 右 击 , 在 弹出 的 快捷 菜单 上 选择 “属性 ”命令 ， 
在 弹出 的 “属性 ”对 话 框 中 选择 “安全 ”选项 卡 ， 如 图 ”Dr 
2-23 所 示 。“ 安 全 ”选项 卡 的 上 部 显示 了 对 当前 文件 夹 。 ass ws wantslasxl 
拥有 权限 的 用 户 和 用 户 组 列表 ， 在 列表 中 选中 某 个 用 户 


下 或 月 六 名 ) 
或 用 户 组 后 选项 卡 的 下 部 就 会 显示 该 用 户 或 用 户 组 实际 | 
拥有 的 权限 类 型 。 ee 


和 计 章 “ 坟 辕 ”。 Fi? 


x 


对 多 名 元 CiTestineFol der 


如 果 需 要 修改 该 文件 夹 的 NTFS 权限 设置 , 单 击 “ 编 
辑 ” 按钮， 将 弹出 如 图 2-24 所 示 的 文件 夹 “权限” 对 话 
框 。 此 对 话 框 的 上 部 依然 是 对 当前 文件 夹 拥有 权限 的 用 。 “| 各 国 
户 和 用 户 组 列表 ， 下 部 显示 了 当前 选中 的 用 户 或 用 户 组 训 e。，ay | 
对 文件 夹 拥有 的 NTFS 权限 。 要 使 用 户 或 用 户 组 拥有 某 EEEEEEE 
项 NTFS 权限 ， 只 需 选 中 权限 对 应 行 的 “允许 ” 复 选 杠 图 2.23 文件 夹 属性 对 话 杠 
即 可 , 要 想 取消 用 户 或 用 户 组 已 拥有 的 某 项 NTFS 权限 ， 
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只 需 取消 相应 权限 对 应 行 的 “允许 ” 复 选 框 即 可 。 

如 果 需 要 给 其 他 用 户 或 用 户 组 指派 权限 ， 或 删除 某 用 户 
或 用 户 组 对 该 文件 夹 所 拥有 的 权限 , 在 图 2-24 所 示 的 “权限 ” 
对 话 框 中 单 击 相应 的 “添加 ”或 “删除 ”按钮 即 可 。 在 添加 
用 户 时 , 需要 先 选择 要 添加 的 用 户 或 用 户 组 , 如 图 2-25 所 示 ， 
选 定 以 后 会 返回 到 “权限 ”对 话 框 ， 此 时 添加 的 用 户 或 用 户 
组 会 显示 在 对 话 框 上 部 的 列表 中 , 并 处 于 选中 状态 , 如 图 2-26 
所 示 。 系 统 会 自动 为 新 添加 的 用 户 或 用 户 组 赋予 “ 读 取 和 执 
行 ”、“ 列 出 文件 夹 目录 ”和 “ 读 取 ”3 种 基本 权限 ， 用 户 可 
以 根据 需要 进行 调整 。 如 果 需 要 给 新 添加 的 用 户 或 用 户 组 赋 
予 某 种 权限 ， 只 需 在 相应 权限 位 置 选 中 “允许 ” 复 选 框 即 可 ; 
反之 则 不 必 选 中 “允许” 复 选 框 。 


图 2-25 “选择 用 户 、 计 算 机 或 组 ”对 话 框 图 2-26 新 用 户 的 权限 设置 


2. 设置 NTFS 文件 权限 

文件 与 文件 夹 的 权限 设置 非常 相似 ， 通 过 打开 文件 “属性 ”对 话 框 ， 切 换 到 “安全 ” 
选项 卡 ， 显示 当前 拥有 权限 的 用 户 或 用 户 组 清单 及 其 所 拥有 的 权限 类 型 如 图 2-27 所 示 , 单 
击 “ 编 辑 ” 按 钮 ， 弹 出 “权限 ”对 话 框 ， 如 图 2-28 所 示 ， 进 行 用 户 或 用 户 组 的 添加 、 删 除 ， 
或 对 当前 拥有 权限 的 用 户 或 用 户 组 进行 权限 的 调整 。 


mm gw | men| umel 


Cw nn | caw 
图 2-27 文件 属性 对 话 框 图 2-28 文件 权限 设置 对 话 框 
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设置 权限 是 一 项 工作 量 大 且 复 杂 的 工作 ， 而 权限 继承 可 以 让 这 项 工作 变 得 轻松 。 继 承 
权限 是 从 父 对 象 (如 文件 夹 ) 传 播 到 子 对 象 (如 子 文件 夹 ) 的 权限 。 继 承 权限 可 以 简化 管理 权限 
的 任务 ， 并 确保 给 定 容器 中 所 有 对 象 之 间 的 权限 一 致 。 如 果 访 问 控制 用 户 界面 各 个 部 分 中 
的 “允许 ”和 “拒绝 ”权限 复 选 框 在 查看 对 象 的 权限 时 显示 为 灰色 ， 则 说 明 该 对 象 具有 来 
自 父 对 象 的 继承 权限 。 通 常情 况 下 子 对 象 所 拥有 的 权限 与 父 对 象 是 一 致 的 ， 但 有 时 候 也 可 
能 需要 对 特定 的 子 对 象 设置 不 同 的 权限 ， 此 时 可 以 在 文件 夹 “ 属 性 ”对 话 框 中 单 击 “ 高 级 ” 
按钮 ， 弹 出 如 图 2-29 所 示 的 “高 级 安全 设置 ”对 话 框 ， 在 该 对 话 框 的 “权限 ”选项 卡 中 设 
置 这 些 继承 权限 。 有 以 下 3 种 推荐 方式 可 对 继承 权限 进行 更 改 : 

。 取消 选中 “包括 可 从 该 对 象 的 父 项 继承 的 权限 ” 复 选 框 , 然后 便 可 对 权限 进行 更 改 

或 删除 “权限 ”列表 中 的 用 户 或 组 。 但 是 ， 该 对 象 将 不 再 从 其 父 对 象 继 承 权限 。 

e 对 明确 定义 权限 的 父 对 象 进行 更 改 ， 然 后 子 对 象 将 继承 这 些 权 限 。 

。 编辑 对 象 的 权限 项 目 ， 选择“ 允许 ”权限 蔡 代 继承 的 “拒绝 ”权限 ,或 选择 “拒绝 ” 
权限 替代 继承 的 “人 允许” 权限。 这 是 因为 直接 选择 的 权限 是 显 式 权限 (在 复 选 框 中 
以 黑色 表示 )， 而 显 式 权限 的 优先 级 高 于 继承 权限 (在 复 选 框 中 以 灰色 表示 )。 例 如 
图 2-30 所 示 的 情况 , 用 户 组 Users 从 父 对 象 那 里 继承 得 到 了 对 文件 夹 TestingFolder 
的 “ 读 取 属性 ”权限 和 “ 读 取 扩 展 属性 ”权限 ， 要 想 取消 这 两 个 权限 ， 就 可 以 通过 
直接 选中 这 两 个 权限 的 “拒绝 ”权限 复 选 框 来 实现 。 
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2-29 “高 级 安全 设置 ”对 话 框 2-30” 显 式 权限 设置 


2.2.3 ”共享 权限 与 NTFS 权限 


访问 文件 服务 器 上 的 文件 夹 可 通过 两 组 权限 条 目 来 确定 : 文件 夹 上 设置 的 共享 权限 和 
NTFS 权限 (也 可 在 文件 上 设置 )。 共 享 权限 经 常用 于 管理 具有 FAT32 文件 系统 的 计算 机 ， 
或 其 他 不 使 用 NTFS 文件 系统 的 计算 机 。 但 是 当 共享 资源 位 于 NTFS 磁盘 分 区 时 , 该 共享 
资源 的 共享 权限 就 会 与 NTFS 权限 进行 组 合 ， 用 于 保护 文件 资源 。 共 享 权限 提供 资源 共享 
的 安全 保证 ，NTFS 权限 限制 用 户 对 文件 夹 的 访问 。 

共享 权限 和 NTFS 权限 是 独立 的 ， 不 能 彼此 更 改 。 对 于 共享 文件 夹 的 最 终 访问 权限 是 
考虑 共享 权限 和 NTFS 权限 项 后 确定 的 ， 最 终 将 应 用 更 为 严格 的 权限 。 
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不 论 是 在 本 地 访问 ， 还 是 通过 网 络 访问 该 资源 ，NTFS 权限 都 发 挥 作用 。NTFS 权限 
的 应 用 与 协议 无 关 。 相 反 ， 共 享 权限 只 适用 于 网 络 共享 。 共 享 权 限 将 不 限制 已 设置 了 共享 
权限 的 计算 机 上 的 任何 本 地 用 户 或 任何 终端 服务 器 用 户 访问 。 因 此 ， 共 享 权限 不 为 多 个 用 
户 使 用 的 计算 机 上 的 用 户 ， 以 及 多 个 用 户 访问 的 终端 服务 器 上 的 用 户 提供 隐私 。 
如 果 要 为 共享 文件 夹 设 置 NTFS 权限 , 可 以 在 共享 文件 夹 的 “属性 ”对 话 框 中 打开 “ 安 
全 ”选项 卡 ， 然 后 对 享有 权限 的 用 户 或 用 户 组 及 其 所 享有 的 NTFS 权限 进行 设置 。 
共享 文件 夹 权 限 与 NTFS 权限 的 区 别 在 于 : 
。 共享 文件 夹 权 限 仅 适用 于 通过 网 络 访问 共享 资源 的 用 户 , 并 不 对 直接 登录 到 计算 机 
的 本 地 用 户 起 作用 ; 而 NTFS 权限 无 论 是 通过 网 络 访问 还 是 本 地 访问 都 会 发 挥 作用 。 
。 共享 文件 夹 权 限 只 适用 于 文件 夹 , 不 适用 于 单独 的 文件 。 只 能 为 整个 共享 文件 夹 设 
置 共 享 权限 ， 而 不 能 针对 该 共享 文件 夹 中 的 文件 或 子 文件 夹 进行 设 置 ; 而 NTFS 权 
限 能 够 针对 共享 文件 夹 中 包含 的 每 个 文件 和 子 文 件 夹 进行 不 同 的 设置 。 
e 在 FAT/FAT32 文件 系统 中 ， 无 法 使 用 NTFS 权限 控制 共享 文件 夹 的 访问 ， 此 时 只 
能 通过 共享 文件 夹 权 限 来 保证 网 络 资源 被 安全 访问 。 
当 共 享 文件 夹 权限 与 NTFS 权限 进行 组 合 时 ， 组 合 结果 所 产生 的 权限 或 者 是 组 合 的 
NTFS 权限 ， 或 者 是 组 合 的 共享 文件 夹 权 限 ， 哪 个 范围 更 窗 、 限 制 更 严 ， 就 用 哪 一 个 。 


2.2.4 文件 与 文件 夹 的 所 有 权 


在 NTFS 磁盘 分 区 中 ， 每 个 文件 或 文件 夹 都 有 其 “所 有 者 ”(OwneD。 默 认 情 况 下 ， 创 
建文 件 或 文件 夹 的 用 户 就 是 其 所 有 者 。 所 有 者 具备 更 改 该 文件 或 文件 夹 权 限 的 能 力 。 但 有 
些 情况 下 需要 改变 文件 或 文件 夹 的 所 有 者 身份 ,让 另 一 个 用 户 取 得 文件 或 文件 夹 的 所 有 权 。 

通常 只 有 系统 管理 员 ， 即 隶属 于 Administrators 用 户 组 的 用 户 才 拥 有 更 改 某 个 文件 或 
文件 夹 所 有 权 的 能 力 ， 因 为 系统 管理 员 对 文件 或 文件 夹具 有 “取得 所 有 权 ” 的 权限 。 不 过 
其 他 具备 “取得 文件 或 其 他 对 象 所 有 权 ” 权 限 的 用 户 或 是 对 该 文件 或 文件 夹 拥 有 “取得 所 
有 权 ” 权 限 的 用 户 ， 也 能 够 改变 所 有 权 。 具 体操 作 过 程 如 下 

(1) 选中 要 更 改 所 有 权 的 文件 或 文件 夹 ， 右 击 后 选择 快捷 菜单 中 的 “属性 ”命令 ,在 
弹出 的 “属性 ”对 话 框 中 单 击 打开 “安全 ”选项 卡 ， 然 后 单 击 “ 高 级 ”按钮 ， 弹 出 “高 级 
安全 设置 ”对 话 框 ， 单 击 打开 “所 有 者 ”选项 卡 ， 如 图 2-31 所 示 。 此 时 即 可 查看 文件 或 文 
件 夹 的 当前 所 有 者 以 及 能 够 获得 所 有 权 的 用 户 列表 。 


2-31 查看 当前 所 有 者 


“60- Windows Server 2008 系统 管理 


(2) 单 击 “ 编 辑 ” 按钮 ， 即 可 打开 如 图 2-32 所 示 的 更 改 所 有 者 对 话 框 ， 通 过 此 对 话 框 ， 
可 以 将 文件 或 文件 夹 的 所 有 者 变更 为 系统 管理 员 或 系统 管理 员 组 ， 也 可 以 变更 为 其 他 某 个 
指定 的 用 户 或 用 户 组 ， 这 通过 单 击 “ 其 他 用 户 或 组 ”按钮 实现 。 


[7 
图 2-32 更 改 所 有 者 对 话 框 


(8) 修改 完成 后 ， 单 击 “确定 ”按钮 保存 修改 结果 。 系 统 会 自动 显示 如 图 2-33 所 示 的 
信息 , 提示 用 户 在 查看 或 更 改 权限 之 前 ， 尖 要 关闭 并 重新 打开 文件 或 文件 来 的 属性 对 话 框 。 
ICE > 
@ Pe 


图 2-33 更 改 所 有 权 提 示 信 息 


2.2.5 ”文件 权限 的 变化 


对 于 NTEFS 磁盘 分 区 内 的 文件 ， 当 复制 或 移动 到 另 一 个 文件 夹 后 ， 其 权限 可 能 会 发 生 

(1) 当 文件 从 一 个 文件 夹 复制 到 另 一 个 文件 夹 时 , 无 论 这 两 个 文件 夹 位 于 同一 个 NTFS 
磁盘 分 区 还 是 不 同 的 NTFS 磁盘 分 区 ， 都 相当 于 创建 了 一 个 新 的 文件 ， 因 此 新 文件 的 权限 
将 继承 目标 文件 夹 的 权限 。 

(2) 当 文 件 从 一 个 文件 夹 移动 到 另 一 个 文件 夹 时 ， 如 果 是 移动 到 同一 个 NTFS 磁盘 分 
区 的 文件 夹 中 ， 则 文件 会 仍然 保持 原来 的 权限 : 如 果 是 移动 到 另 一 个 NTFS 磁盘 分 区 ， 则 
文件 会 继承 目的 地 的 权限 。 

(3) 将 文件 移动 或 复制 到 目的 地 的 用 户 将 拥有 该 文件 的 所 有 权 。 

文件 夹 的 移动 或 复制 时 权限 的 变化 与 文件 是 一 样 的 。 需 要 注意 的 是 ， 在 移动 文件 或 文 
件 夹 时 ， 无 论 移动 到 相同 还 是 不 相同 的 NTFS 磁盘 分 区 ， 用 户 都 必须 对 来 源 文件 或 文件 夹 
拥有 “修改 ”权限 ， 同 时 还 必须 对 目的 文件 夹 拥 有 “ 写 入 ”权限 。 
由 于 FAT/FAT32 文件 系统 不 支持 NTFS 权限 的 设置 ,所 以 当 文件 从 NTFS 磁盘 分 区 被 
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复制 或 移动 到 FAT 或 FAT32 磁盘 分 区 上 时 ， 其 原 有 的 权限 设置 都 将 被 删除 。 


2.3 磁盘 配额 


磁盘 配额 就 是 管理 员 为 用 户 所 能 使 用 的 磁盘 空间 进行 配额 限制 。 设 置 磁盘 配额 后 ， 管 
理 员 可 以 对 每 一 个 用 户 的 磁盘 使 用 情况 进行 跟踪 和 控制 ， 可 以 通过 监测 标识 出 超过 配额 报 
警 闽 值 和 配额 限制 的 用 户 ， 从 而 采取 相应 的 措施 。 

磁盘 配额 是 以 文件 所 有 权 为 基础 的 ， 只 应 用 于 NTFS 卷 ， 且 不 受 卷 的 文件 夹 结构 和 卷 
在 物理 磁盘 上 的 布局 影响 。 它 独立 地 监视 用 户 对 NTFS 卷 的 使 用 情况 ， 用 户 与 用 户 之 间 对 
卷 的 使 用 不 会 相互 影响 。 

磁盘 配额 管理 功能 的 提供 ， 使 得 管理 员 可 以 方便 合理 地 为 用 户 分 配 存储 资源 ， 可 以 限 
制 指定 帐户 能 够 使 用 的 磁盘 空间 ， 这 样 可 以 避免 因 某 个 用 户 的 过 度 使 用 磁盘 空间 造成 其 他 
用 户 无 法 正常 工作 甚至 影响 系统 运行 ,避免 由 于 磁盘 空间 使 用 的 失控 可 能 造成 的 系统 崩溃 ， 
提高 了 系统 的 安全 性 。 


2.3.1 磁盘 配额 的 功能 


只 有 管理 员 或 拥有 管理 员 权 限 的 用 户 才能 启用 磁盘 配额 功能 ， 并 且 磁 盘 配 额 功能 也 只 
有 在 NTFS 卷 上 才能 发 挥 作 用 。 管 理 员 可 以 根据 需要 为 各 个 用 户 设置 不 同 的 配额 限度 或 警 
告 级 别 ， 也 可 以 为 还 没有 在 卷 上 复制 、 保 存 过 文件 或 取得 文件 所 有 权 的 用 户 设置 配额 ,或 
者 在 一 个 新 建 的 空白 卷 上 启用 磁盘 配额 。 

磁盘 配额 功能 在 启用 时 需要 设 定 两 个 值 : 磁盘 配额 空间 限制 和 磁盘 配额 警告 级 别 。 磁 
盘 配 额 空间 限制 用 于 指定 允许 用 户 使 用 的 最 大 磁盘 空间 容量 (一 般 情况 下 应 当 配 置 为 当 用 
户 试图 使 用 的 空间 大 小 超出 限制 时 将 被 禁止 ， 并 由 系统 记录 该 事件 ， 当 然 也 可 以 配置 为 当 
用 户 超出 限制 时 仍 可 继续 使 用 ， 仅 由 系统 记录 该 事件 ， 供 管理 员 根据 记录 信息 进行 跟踪 和 
调整 )。 磁 盘 配 额 移 告 级 别 指定 了 用 户 接近 其 配额 限度 的 值 。 通 常 配 置 下 ， 当 用 户 对 卷 空间 
的 使 用 超过 配额 警告 级 别 时 ， 系 统 就 会 记录 该 事件 。 


2.3.2 ”磁盘 配额 的 设置 


对 于 已 经 创建 好 NTFS 的 卷 ， 启 动 磁盘 配额 的 方法 非常 简单 ， 只 需 由 管理 员 在 “计算 
机 ”窗口 中 右 击 相应 的 卷 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 的 “属性 ” 
对 话 框 中 单 击 打 开 “ 配 额 ” 选 项 卡 ， 如 图 2-34 所 示 ， 然 后 选中 “启用 配额 管理 ” 复 选 框 ， 
再 单 击 “ 确 定 ” 按 钮 或 “应 用 ”按钮 即 可 。 
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图 2-34 启用 磁盘 配额 管理 


当 管理 员 针 对 某 个 卷 启用 磁盘 配额 后 ，Windows Server 2008 就 会 计算 到 启动 启用 磁盘 
配额 功能 时 刻 为 止 在 该 卷 中 复制 文件 、 保 存 文件 或 取得 文件 所 有 权 的 用 户 使 用 过 的 磁盘 空 
间 ， 然 后 根据 计算 结果 自动 为 每 个 用 户 指定 配额 限度 和 警告 级 别 。 这 些 工 作 将 导致 卷 重新 
被 扫描 ， 以 便 将 磁盘 使 用 方式 数据 更 新 到 最 新 状态 。 因 此 当 管 理 员 启用 磁盘 配额 时 ， 系 统 


会 弹出 如 图 2-35 所 示 的 信息 提示 对 话 框 让 管理 员 再 次 确认 。 
[a 


A 号 要 良 拓 和 朝 再 


请 按 “确定 ”， 宜 用 了 配 藻 系统 。 


ER 


图 2-35 启用 磁盘 配额 -再 次 确认 


磁盘 配额 在 卷 上 启用 以 后 ， 就 可 以 通过 “配额 ”选项 卡 上 的 “配额 项 ”按钮 查看 当前 
在 卷 上 已 经 复制 、 保 存 过 文件 或 取得 文件 所 有 权 的 用 户 列表 ， 以 及 每 个 用 户 的 卷 空 间 使 用 
量 、 当 前 设 定 的 配额 限制 、 警 告 等 级 及 已 使 用 空间 的 百分比 等 信息 ， 如 图 2-36 所 示 。 如 果 
要 调整 某 个 用 户 的 配额 属性 ， 只 需 在 该 列表 中 双击 相应 用 户 所 在 的 行 ， 然 后 弹出 该 用 户 在 
当前 NTFS 卷 上 的 “磁盘 配额 设置 ”对 话 框 ， 如 图 2-37 所 示 ， 在 对 话 框 中 为 用 户 设置 新 
的 磁盘 空间 限制 大 小 和 和 警告 等 级 大 小 即 可 。 也 可 以 根据 需要 将 用 户 设 定 为 “不 限制 磁盘 


使 用 ”。 
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图 2-36 配额 项 窗口 
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图 2-37 配额 设置 对 话 框 
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图 2-38 ”磁盘 配额 设置 -警告 状态 
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图 2-39 ”磁盘 配额 设置 -事件 属性 


2-40 ”磁盘 配额 设置 -空间 不 足 信息 
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对 于 新 用 户 ( 即 尚未 在 卷 上 复制 、 保 存 过 文件 或 取得 文件 所 有 权 的 用 户 ) 来 说 ， 也 可 以 
在 “属性 ”对 话 框 的 “配额 ”选项 卡 中 为 其 指定 默认 的 配额 限制 。 在 此 处 还 可 以 对 当前 卷 
的 整体 配额 记录 选项 ( 即 用 户 超出 配额 限制 时 是 否 记录 事件 、 用 户 超 过 警告 等 级 时 是 否 记录 
事件 ) 进 行 设置 ， 并 规定 当 用 户 超出 配额 限制 时 是 否 拒绝 分 配 磁盘 空间 。 

如 果 某 个 用 户 在 启用 磁盘 配额 管理 的 NTFS 卷 上 使 用 的 空间 超出 了 管理 员 给 其 指定 的 
磁盘 配额 警告 级 别 , 那么 该 用 户 在 该 卷 配额 项 列表 中 就 会 显示 为 警告 状态 , 如 图 2-38 所 示 。 
如 果 当 前 卷 的 配额 记录 方式 设 定 为 “用 户 超过 警告 等 级 时 记录 事件 ”， 则 系统 也 会 自动 记 
录 该 事件 的 相关 信息 ， 如 图 2-39 所 示 ， 以 供 管理 员 在 事件 查看 器 中 查看 。 如 果 磁 盘 配 额 设 
置 为 “拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 ”， 则 当 用 户 要 占用 的 空间 超过 管理 员 给 其 指 
定 的 磁盘 空间 限制 时 ， 系 统 会 自动 拒绝 用 户 对 空间 的 占用 ， 并 显示 如 图 2-40 所 示 的 空间 不 足 
的 警告 信息 。 信 息 上 所 显示 的 磁盘 空间 总 大 小 就 是 管理 员 给 用 户 指定 的 磁盘 空间 限制 大 小 。 
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2.4 分布 式 文件 系统 


2.4.1 分布 式 文件 系统 概述 


大 多 数 网 络 环境 中 ， 共 享 资源 都 驻 留 在 多 台 服 务 器 上 的 各 个 共享 文件 夹 中 。 要 访问 资 
源 ， 用 户 或 程序 必须 通过 驱动 器 映射 等 方式 连接 到 共享 资源 所 在 的 服务 器 。 当 访问 不 同 的 
资源 时 需要 分 别 访问 不 同 的 服务 器 。 通 过 分 布 式 文件 系统 (Distributed File System，DFS)， 

- 台 服 务 器 上 的 某 个 共享 点 能 够 作为 驻 留 在 其 他 服务 器 上 的 共享 资源 的 宿主 。DFS 以 透明 

方式 链接 文件 服务 器 和 共享 文件 来， 然后 将 其 映射 到 单个 层次 结构 ， 以 便 可 以 从 一 个 位 置 
对 其 进行 访问 ， 而 实际 上 数据 却 分 布 在 不 同 的 位 置 。 用 户 不 必 再 转 至 网 络 上 的 多 个 位 置 以 
查找 所 需 的 信息 ， 而 只 需 连接 到 DFS 的 根 目 录 , 然后 在 访问 根 目 录 所 包含 的 文件 夹 时 将 被 
自动 重 定向 到 包含 相应 共享 资源 的 网 络 位 置 。 这样, 用户 只 需 知道 DFS 根 目录 共享 即 可 访 
问 整个 网 络 环境 的 共享 资源 。 

Windows Server 2008 中 的 分 布 式 文件 系统 包括 两 种 技术 , 可 以 同时 使 用 或 分 别 使 用 这 
两 种 技术 ， 在 基于 Windows 的 网 络 上 提供 容错 且 灵 活 的 文件 共享 和 复制 服务 。 


1. DFS 命名 空间 (DFS Namespace) 


使 用 DFS 命名 空间 , 可 以 将 位 于 不 同 服务 器 上 的 共享 文件 夹 组 合 到 一 个 或 多 个 逻辑 结 
构 的 命名 空间 。 每 个 命名 空间 作为 具有 一 系列 子 文件 夹 的 单个 共享 文件 夹 显示 给 用 户 。 命 
名 空间 的 基本 结构 可 以 包含 位 于 不 同 服务 器 以 及 多 个 站 点 中 的 大 量 共享 文件 来。 由 于 共享 
文件 夹 的 基本 结构 对 用 户 是 隐藏 的 , 因此 DFS 命名 空间 中 的 单个 文件 夹 可 与 多 个 服务 器 上 
的 多 个 共享 文件 夹 相对 应 。 此 结构 可 提供 容错 功能 ， 并 能 够 将 用 户 自动 连接 到 本 地 共享 文 
件 夹 (可 用 时 )， 而 不 是 通过 广域网 (WAN) 连 接 对 这 些 用 户 进行 路 由 。 

2. DFS 复制 (DFS Replication) 


DFS 复制 是 一 个 多 主机 复制 引擎 ， 使 用 该 引擎 ， 用 户 可 以 通过 局 域 网 或 广域网 (WAN) 
网 络 连 接 同步 多 个 服务 器 上 的 文件 夹 。 它 使 用 远程 差分 压缩 (RDC) 协 议 仅 更 新 自 上 次 复制 
后 已 更 改 的 那 部 分 文件 内 容 。 

Windows Server 2008 中 的 分 布 式 文件 系统 是 作为 文件 服务 角色 的 角色 服务 实施 的 。 对 
应 于 它 所 包含 的 两 种 技术 , 分 布 式 文件 系统 包含 两 种 角色 服务 :DFS 命名 空间 和 DFS 复制 。 
安装 “文件 服务 ”服务 器 角色 的 过 程 中 选择 安装 “DFS 命名 空间 ”和 “DFS 复制 ”这 两 种 
角色 服务 即 可 使 服务 器 具备 DFS 的 功能 。 如 图 2-41 所 示 ， 表 示 “DFS 命名 空间 ”与 “DFS 
复制 ”已 安装 成 功 并 正在 运行 。 
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图 2-41 DFS 服务 安装 成 功 正常 运行 


若 要 管理 运行 Windows Server 2008 的 计算 机 上 的 DFS 命名 空间 和 DFS 复制 , 可 以 使 
用 由 服务 器 管理 器 承载 的 “DFS 管理 ”管理 单元 , 也 可 以 使 用 “管理 工具 ”文件 夹 中 的 “DFS 
管理 ”管理 单元 (DFS Management)。“DEFS 管理 ”管理 单元 界面 如 图 2-42 所 示 。 


i 
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图 2-42 “DFS 管理 ”管理 单元 界面 


2.4.2 添加 DFS 映射 


DFS 命名 空间 可 以 在 安装 DFS 角色 服务 的 时 候 由 安装 向 导 提示 创建 ,也 可 以 在 以 后 根 
据 需 要 通过 “DFS 管理 ”管理 单元 新 建 。 只 有 创建 了 DFS 命名 空间 ， 才 能 通过 向 命名 空间 
中 添加 共享 文件 夹 的 方法 来 添加 DFS 映射 。 

DFS 命名 空间 中 的 共享 文件 夹 都 需要 管理 员 手 动 添加 以 创建 连接 。 需 要 注意 的 是 ， 添 
加 到 命名 空间 的 共享 文件 夹 ， 其 共享 属性 和 访问 权限 必须 是 事先 指定 好 的 ， 创 建 连接 并 不 
能 自动 创建 共享 文件 夹 ， 它 只 是 建立 一 个 目标 文件 夹 映 射 而 已 。 

新 建 一 个 DFS 命名 空间 的 过 程 如 下 : 

(1) 通过 “DFS 管理 ”管理 单元 的 “新 建 命名 空间 ”操作 启动 “新 建 命名 空间 向 导 ”， 
如 图 2-43 所 示 。 

(2) 在 向 导 对 话 框 中 输入 承载 该 命名 空间 的 服务 器 的 名 称 ， 然 后 在 下 一 页 输入 要 创建 
的 新 命名 空间 的 名 称 。 如 有 必要 ， 还 可 以 单 击 “ 编 辑 设置 ”按钮 ， 在 弹出 的 “编辑 设置 ” 
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对 话 框 中 指定 新 命名 空间 所 包含 的 共享 文件 夹 的 本 地 路 径 及 共享 权限 ， 如 图 2-44 所 示 。 
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2-43 ”新 建 命名 空间 向 导 图 2-44 新 建 命名 空间 向 导 -“ 编 辑 设置 ” 对 话 框 


(3) 下 一 步 选择 要 创建 的 命名 空间 类 型 ， 如 图 2-45 所 示 。 类 型 必须 是 下 列 两 种 之 一 : 

@ 独立 命名 空间 。 如 果 服 务 器 上 没有 使 用 安装 运行 Active Directory 域 服务 (AD DS)， 
或 者 希望 使 用 故障 转移 集群 提高 命名 空间 的 可 用 性 ， 应 选择 此 类 型 ; 

@ 基于 域 的 命名 空间 。 如 果 希 望 使 用 多 个 命名 空间 服务 器 来 确保 命名 空间 的 可 用 性 ， 
并 且 希 望 对 用 户 隐藏 命名 空间 服务 器 的 名 称 ， 使 得 更 易于 替换 命名 空间 服务 器 或 将 命名 空 
间 迁 移 到 另 一 台 服 务 器 ， 应 选择 此 类 型 。 另 外 ， 如 果 选 择 基 十 域 的 命名 空间 ， 还 必须 选择 
命名 空间 模式 是 Windows 2000 Server 模式 还 是 Windows Server 2008 模式 。 

(4) 最 后 检查 前 面 各 步骤 所 做 的 设置 ， 如 果 没 有 问题 ， 单 击 “ 创 建 ”按钮 即 可 创建 新 
的 命名 空间 。 


图 2-45 新建 命名 空间 向 导 -命名 空间 类 型 
在 创建 命名 空间 后 ， 就 可 以 将 各 服务 器 中 创建 的 共享 文件 夹 添加 到 命名 空间 中 统一 管 
理 和 使 用 了 。 具 体 步骤 如 下 : 
(1) 打开 “服务 器 管理 器 ”中 的 “DFS 管理 ”管理 单元 ， 选 中 命名 空间 ， 以 列 出 当前 
服务 器 的 DFS 中 已 创建 的 命名 空间 。 
(2) 在 想 要 添加 共享 文件 夹 的 命名 空间 上 右 击 ， 从 弹出 的 快捷 菜单 中 选择 “新 建文 件 
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夹 ” 命 令 ， 或 直接 选择 窗口 右 部 的 “新 建文 件 夹 ”操作 链接 ， 弹 出 如 图 2-46 所 示 的 “新 建 
文件 夹 ” 对 话 框 。 
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图 2-46 创建 DFS 映射 -“ 新 建文 件 夹 ”对 话 框 


(3) 在 “新 建文 件 夹 ” 对 话 框 的 “名 称 ”文本 框 中 输入 要 添加 的 DFS 映射 的 新 名 称 ， 
如 图 2-46 中 的 “ShareFiles”。 

(4) “新 建文 件 夹 ”对 话 框 的 文件 夹 目 标 列表 框 将 显示 出 已 经 添加 的 共享 文件 夹 的 位 
置 及 名 称 。 要 添加 共享 文件 夹 ， 还 需 单 击 “ 添 加 ”按钮 ， 弹 出 “添加 文件 夹 目 标 ” 对 话 框 ， 
如 图 2-47 所 示 。 在 添加 共享 文件 夹 时 , 还 可 以 通过 单 击 “ 添 加 文件 夹 目标 ” 对话 框 中 的 “ 浏 
览 ” 按 钮 ， 打 开 “ 浏 览 共享 文件 夹 ”对 话 框 ， 如 图 2-48 所 示 ， 在 此 对 话 框 中 浏览 域 中 各 个 
服务 器 所 提供 的 共享 文件 夹 ， 并 选择 需要 的 进行 添加 。 此 处 可 以 添加 不 同 服务 器 上 的 不 同 
共享 文件 夹 ， 如 图 2-46 中 所 显示 的 情况 ， 将 服务 器 winserver2008 上 的 共享 文件 夹 Audio 
和 服务 器 newserver 上 的 共享 文件 夹 pdf， 一 并 映射 到 了 wizard.net 域 中 的 NewSpace 命名 
空间 里 新 建 的 ShareFiles 共享 文件 夹 中 。 
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图 2-47 创建 DFS 映射 -“ 添 加 文件 夹 目标 ”对 话 框 ”图 2-48 创建 DFS 映射 “浏览 共享 文件 ” 夹 对 话 框 


(5) 设置 完成 后 ， 单 击 “ 新 建文 件 夹 ”对 话 框 中 的 “确定 ”按钮 ， 即 可 完成 DFS 映射 
的 添加 ， 新 添加 的 映射 以 文件 夹 的 形式 出 现在 命名 空间 中 。 
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2.4.3 创建 DFS 复制 组 


实际 上 一 旦 管理 员 添 加 完 新 的 DFS 映射 ， 系 统 就 会 马上 提示 是 否 创建 复制 组 ， 以 用 于 
同步 刚 创建 的 文件 夹 的 文件 夹 目 标 , 如 图 2-49 所 示 。 DFS 复制 是 一 个 基于 状态 的 多 主机 复 
制 引 擎 ， 使 用 许多 复杂 的 进程 来 保持 多 个 服务 器 上 的 数据 同步 ， 能 够 保证 在 一 个 成 员 上 进 
行 的 任何 更 改 均 能 复制 到 复制 组 的 其 他 所 有 成 员 上 。 

DFS 复制 支持 复制 计划 和 带宽 限制 ， 能 够 在 有 限 带宽 网 络 上 更 新 文件 ， 同 时 检测 文件 
中 数据 的 插入 、 删 除 和 重新 排列 ， 很 好 地 解决 了 文件 冲突 问题 并 具备 自我 修复 能 力 ， 因 此 
通过 DFS 复制 来 保证 数据 的 有 效 性 和 一 致 性 是 很 有 必要 的 。 


复制 EE 


全 复制 组 可 用 于 同步 刚 创建 的 文件 夹 的 文件 夹 目标 。 
~ 是 否 8j 建 夏 制 组 ? 


EE _ so | 
图 2-49 是否 创 建 复 制 组 提示 框 


要 使 用 DFS 复制 发 布 数据 ， 需 要 创建 一 个 DFS 复制 组 ， 然 后 选择 包含 一 个 或 两 个 中 
心服 务 器 (用 于 宛 余 ) 的 集散 拓扑 。 具 体 步 骤 如 下 : 

(1) 打开 “管理 工具 ”中 的 “DFS 管理 ”窗口 ， 右 击 “ 复 制 ” 节 点 ， 在 弹出 的 快捷 菜 
单 中 选择 “新 建 复制 组 ”命令 ， 或 在 窗口 右 部 单 击 “ 新 建 复 制 组 ”链接 ， 打 开 如 图 2-50 所 
示 的 “新 建 复制 组 向 导 ” 对 话 框 。 在 第 一 步 “ 复 制 组 类 型 ”中 选中 “多 用 途 复制 组 ” 单 选 
按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 


[TI -Da 
EA] 外 利和 各 

om same 

moma Sa 

ms OD 
pew 

一 一 四 

ep NA 
pe 

Mee 

se 

nanzns 

ee 

可 


图 2-50 “新 建 复制 组 向 导 ” 对 话 框 
(C) 在 下 一 步骤 “名 称 和 域 ”中 指定 复制 组 的 名 称 及 其 所 在 的 域 ， 如 图 2-51 所 示 ， 如 


有 需要 ， 还 可 添加 关于 复制 组 的 描述 信息 。 需 要 注意 的 是 ， 在 同一 个 域 中 复制 组 的 名 称 必 
须 是 唯一 的 。 
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图 2-51 新 建 复制 组 向 导 -名 称 和 域 


G) 进入 “复制 组 成 员 ” 步 又， 在 此 处 选择 两 个 或 更 多 将 成 为 复制 组 成 员 的 服务 器 ， 
如 图 2-52 所 示 。 服 务 器 必须 先 安装 DFS 复制 服务 才能 成 为 复制 组 成 员 。 
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图 2-52 新 建 复制 组 向 导 -复制 组 成 员 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 在 “拓扑 选择 ”中 选 定 复制 组 成 员 之 间 的 连接 拓扑 ， 如 图 
2-53 所 示 。 
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图 2-53 ”新 建 复制 组 向 导 -拓扑 选择 


拓扑 类 型 主要 有 两 种 : 
@ 集散 。 这 种 拓扑 类 型 需要 3 个 或 更 多 成 员 。 对 于 每 个 轮 辐 成 员 ， 需 要 选择 必需 的 
中 心 成 员 和 (可 选 ) 用 于 宛 余 的 第 二 个 中 心 成 员 。 可 选中 心 可 以 确保 轮 辐 成 员 在 一 个 中 心 成 
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员 不 可 用 时 仍 可 以 复制 。 如 果 指 定 两 个 中 心 成 员 ， 中 心 成 员 之 间 将 采用 交错 拓扑 。 

@ 交错 。 在 这 种 拓扑 类 型 中 ， 每 个 成 员 将 与 复制 组 的 其 他 所 有 成 员 进行 复制 。 如 果 
复制 组 中 的 成 员 等 于 或 少 于 十 个 ， 此 拓扑 非常 适合 。 

如 果 现 在 选择 “没有 拓扑 ”， 那 么 复制 将 不 会 发 生 ， 直 到 管理 员 创建 了 与 复制 组 相关 
的 其 他 自 定义 拓扑 为 止 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ， 在 “复制 组 计划 和 带宽 ”中 可 以 选择 使 用 指定 带宽 进行 全 
天 候 复制 ， 还 是 在 指定 的 日 期 和 时 间 进 行 复制 ， 如 图 2-54 所 示 。 如 果 选 择 在 指定 的 日 期 和 
时 间 进 行 复制 ， 还 可 以 单 击 “ 编 辑 计 划 ” 按 钮 ， 在 弹出 的 “编辑 计划 ”对 话 框 中 ， 进 一 步 
选择 用 于 复制 的 具体 时 间 和 带宽 使 用 率 ， 如 图 2-55 所 示 。 
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图 2-54 新建 复制 组 向 导 -复制 组 计划 和 带宽 。 图 2-55 ”新建 复制 组 向 导 -“ 编 辑 计划 ”对 话 框 


(6) 单 击 “ 下 一 步 ”按钮 ， 在 “主要 成 员 ” 界 面 中 ， 需 要 在 复制 组 成 员 中 选择 一 个 服务 
器 作为 主要 成 员 , 如 图 2-56 所 示 。 主要 成 员 上 的 文件 夹 和 文件 将 在 初始 复制 期 间 具 有 权威 性 。 

(07) 单 击 “ 下 一 步 ” 按 钮 ，“ 要 复制 的 文件 夹 ” 要 求 选择 在 主要 成 员 中 希望 复制 到 复 
制 组 其 他 成 员 的 文件 夹 ， 如 图 2-57 所 示 。 可 以 单 击 “ 添 加 ”按钮 ， 弹 出 “添加 要 复制 的 文 
件 夹 ” 对 话 框 ， 如 图 2-58 所 示 ， 浏 览 主要 成 员 服务 器 上 的 本 地 资源 并 添加 需要 进行 复制 的 
文件 夹 ， 例 如 C 卷 上 的 Audio 文件 夹 。 此 处 也 可 以 根据 需要 选择 多 个 需要 复制 的 文件 夹 ， 
并 分 别 指定 它们 的 名 称 和 权限 。 
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图 2-56 新 建 复制 组 向 导 -主要 成 员 图 2-57 新 建 复制 组 向 导 -要 复制 的 文件 夹 
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图 2-58 新 建 复制 组 向 导 -“ 添 加 要 复制 的 文件 夹 ”对 话 框 


(8) 然后 选择 “其 他 成 员 上 Audio 的 本 地 路 径 ”， 如 图 2-59 所 示 ，Audio 是 上 一 步骤 
中 选 定 的 主要 成 员 中 要 共享 的 文件 夹 名 称 ， 实 际 操作 时 会 根据 情况 有 不 同 的 显示 。 默 认 情 
况 下 其 他 成 员 的 本 地 路 径 是 被 禁用 的 ， 此 时 需要 通过 单 击 “ 编 辑 ” 按 钮 打开 “编辑 ”对 话 
框 ， 如 图 2-60 所 示 ， 选 定 其 他 成 员 上 参与 复制 的 文件 夹 的 本 地 路 径 。 
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2-59 新建 复制 组 向 导 -其 他 成 员 上 的 本 地 路 径 


图 2-60 新建 复制 组 向 导 -其 他 成 员 上 的 本 地 
路 径 编辑 对 话 框 


(9) 返回 “新 建 复 制 组 向 导 ” 对 话 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “复查 设置 并 创建 
复制 组 ”步骤 ， 如 图 2-61 所 示 ， 如 果 各 项 设置 经 检查 没有 问题 ， 单 击 “ 创 建 ”按钮 就 可 以 
真正 开始 复制 组 的 创建 工作 。 创 建 完毕 后 ， 系 统 还 会 显示 “确认 ”信息 ， 如 图 2-62 所 示 ， 
提示 用 户 复制 组 创建 的 总 体 情况 。 至 此 DFS 复制 组 创建 完毕 。 
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图 2-61 新 建 复制 组 向 导 -复查 设置 并 创建 复制 组 图 2-62 新 建 复制 组 向 导 -确认 


2.4.4 ”发 布 DFS 复制 组 


为 了 使 域 中 的 用 户 能 够 更 方便 地 访问 复制 组 文件 夹 , 还 需要 将 DFS 复制 组 发 布 到 命名 
空间 中 。 具 体 步骤 如 下 : 

(1) 在 “服务 器 管理 器 ”窗口 或 “DFS 管理 ”窗口 中 找到 要 进行 发 布 的 复制 组 ， 选 中 
以 后 ， 在 详细 信息 窗 格 中 打开 “已 复制 文件 夹 ”选项 卡 ， 右 击 要 共享 的 已 复制 文件 夹 ， 在 
弹出 的 快捷 菜单 中 选择 “在 命名 空间 中 共享 和 发 布 ”命令 ， 如 图 2-63 所 示 。 
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2-64 “共享 和 发 布 已 复制 文件 夹 向 导 ” 对 话 框 
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G3) 在 “共享 已 复制 文件 夹 ”步骤 再 次 审查 每 个 已 复制 文件 夹 的 “操作 ” 列 ， 如 图 2-65 
所 示 。 如 果 需 要 共享 文件 夹 ， 可 以 单 击 “ 编 辑 ” 按钮， 弹出 “编辑 共享 ”对 话 框 ,如 图 2-66 
所 示 为 已 复制 文件 夹 指定 新 的 共享 名 称 和 共享 权限 。 
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图 2-65 共享 和 发 布 已 复制 文件 夹 图 2-66 共享 已 复制 文件 夹 -“ 编 辑 共享 ”对 话 框 
向 导 - 共 享 已 复制 文件 夹 


(4) 在 下 一 步 的 “命名 空间 路 径 ” 中 ， 首 先 需 要 选择 当前 域 中 的 某 个 命名 空间 并 指定 
-个 父 文件 夹 作为 发 布 位 置 ， 然 后 还 需要 给 已 复制 文件 夹 指 定 一 个 在 命名 空间 中 的 新 文件 
夹 名 称 ， 如 图 2-67 所 示 。 
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图 2-67 共享 和 发 布 已 复制 文件 夹 向 导 -命名 空间 路 径 


(5) 最 后 进入 “复查 设置 并 共享 已 复制 文件 夹 ”步骤 ， 如 图 2-68 所 示 ， 如 果 各 项 设置 
无 误 ， 即 可 单 击 “ 共 享 ” 按 钮 ， 对 已 复制 文件 夹 进行 共享 和 发 布 。 当 系统 成 功 完成 各 项 任 
务 并 提示 信息 (如 图 2-69 所 示 ) 后 ， 表 明 复 制 文件 夹 共 享 和 发 布 成 功 。 
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2-68 ”共享 和 发 布 已 复制 文件 夹 向 导 -复查 设置 图 2-69 共享 和 发 布 已 复制 文件 夹 向 导 -确认 
并 共享 已 复制 文件 夹 


DFS 复制 组 发 布 成 功 以 后 ， 登 录 到 域 的 用 户 即 可 通过 访问 域 中 的 命名 空间 及 设 定 的 文 
件 夹 来 访问 已 复制 文件 夹 的 内 容 了 ， 如 图 2-70 所 示 。 
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图 2-70 访问 已 发 布 的 DFS 复制 组 


2.5 本 章 小 结 


在 Windows Server 2008 所 提供 的 文件 服务 功能 中 , NTFS 文件 权限 和 共享 文件 夹 权 限 
可 以 控制 用 户 文件 的 访问 ; 分 布 式 文件 系统 (DFS) 通 过 DFS 命名 空间 和 DFS 复制 提供 了 灵 
活 的 文件 共享 和 复制 服务 ， 磁盘 配额 管理 确保 了 每 个 用 户 所 使 用 的 磁盘 空间 不 会 超过 限定 
的 阐 值 。 除 此 以 外 ，Windows Server 2008 的 文件 服务 还 提供 了 卷 影 副 本 和 备份 功能 确保 系 
统 能 够 快速 地 从 受 损 的 数据 和 硬件 故障 中 恢复 ; 文件 屏蔽 管理 功能 控制 用 户 可 以 保存 的 文 
件 类 型 以 及 在 用 户 尝试 保存 未 经 授权 的 文件 时 生成 通知 ;文件 分 类 功能 自动 对 文件 进行 分 
类 、 运 行 报告 以 及 对 服务 器 上 的 文件 应 用 基于 分 类 的 文件 过 期 和 自 定义 操作 ， 确 保管 理 员 
在 有 效 管理 数据 的 同时 可 以 最 大 程度 地 减少 工作 量 。 

Windows Server 2008 的 文件 服务 提供 了 从 文件 访问 、 权 限 控制 、 空 间 使 用 限制 到 文件 
同步 复制 、 文 件 备份 及 恢复 等 操作 的 全 方位 功能 ， 使 得 管理 员 能 够 高 效 、 灵 活 地 进行 文件 
管理 ,其 中 分 布 式 文件 系统 (DFS) 以 对 用 户 透明 的 方式 统一 组 织 文件 服务 器 和 共享 文件 夹 的 
文件 ， 使 用 户 能 够 极为 方便 地 访问 整个 网 络 环境 的 共享 资源 ，DFS 复制 组 则 确保 了 数据 文 


第 2 章 文件 服务 “75。 


件 的 有 效 性 、 一 致 性 和 安全 性 。 


2.6 思考 与 练习 


思考 题 】 
1. 在 Windows Server 2008 系统 中 设置 资源 共享 有 哪 两 种 方式 ? 每 种 方式 需要 怎样 的 
步骤 ? 
2. 访问 网 络 共享 资源 有 哪儿 种 方法 ? 
3.NTFS 文件 夹 权 限 有 哪儿 种 类 型 ? 
4. 在 创建 DFS 复制 组 的 过 程 中 ， 复 制 组 成 员 之 间 的 连接 拓扑 类 型 主要 有 哪 两 种 ? 各 
有 什么 特点 ? 


【练习 题 】 
初始 条 件 : 一 台 尚 未 启用 磁盘 配额 管理 的 Windows Server 2008 服务 器 、 服 务 器 管理 
员 帐 户 。 


操作 目标 : 在 Windows Server 2008 服务 器 的 所 有 卷 上 启动 磁盘 配额 管理 , 并 将 所 有 新 
用 户 在 该 卷 上 可 使 用 的 磁盘 空间 限制 设 定 为 500MB， 和 警告 等 级 设置 为 450MB， 并 设置 为 
记录 所 有 的 超出 警告 等 级 事件 和 超出 配额 限制 事件 。 
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【本 章 导 读 】 

信息 共享 是 现代 生活 的 基础 ， 无 论 是 在 单位 工作 ， 还 是 在 日 常 的 学 习 和 生活 当中 ， 我 
们 都 需要 频繁 地 与 他 人 分 享 信息 。 各 种 规模 的 组 织 和 业务 单位 都 需要 通过 信息 共享 来 提高 
业务 流程 的 效率 和 团队 的 工作 效率 ， 通 过 使 用 有 助 于 用 户 跨 组 织 和 跨 地 区 边界 保持 连接 的 
协作 工具 来 保证 用 户 能 够 访问 其 所 需 的 信息 。 微 软 公 司 开发 的 Windows SharePoint 
Services( 以 下 简称 WSS) 提 供 了 符合 上 述 需求 的 解决 方案 。WSS 是 一 个 能 够 用 来 实现 信息 
共享 和 文档 协作 的 工具 , 提供 了 大 量 工具 以 及 一 个 伸缩 性 极 好 的 、 基 于 Web 应 用 程序 的 通 
用 基础 平台 。WSS 能 够 构建 基于 Web 的 各 种 应 用 程序 ， 并 可 以 轻松 地 调整 和 缩放 这 些 程 
序 ， 以 满足 不 断 变化 和 日 益 增长 的 业务 需求 。 


3.1 安装 WSS 服务 


3.1.1 安装 前 的 准备 


WSS 是 微软 公司 开发 的 一 款 用 于 Windows Server 2003 的 免费 增值 软件 。 事 实 上 
Windows Server 2003 R2 已 经 包含 了 它 ， 但 是 Windows Server 2008 系统 并 没有 直接 包含 
WSS, 用 户 需 要 到 微软 公司 的 网 站 免费 下 载 。WSS 的 前 端 是 一 个 运行 于 Internet Information 
Services 6.0 之 上 的 ASPNET 网 站 , 后 端 由 SQL Server 来 存储 数据 。WSS 包括 以 下 5 个 主 
要 的 模块 : 

e 基于 ASPNET 2.0 平 台 ， 并 提供 数据 库 服务 、 文 档 管理 、 安 全 和 访问 控制 以 及 管理 

功能 的 一 套 软件 。 
由 一 个 或 者 多 个 Intermet 信息 服务 (IIS)Web 服务 器 组 成 的 一 套 Web 传输 装置 。 
-个 Microsoft SQL Server 数据 库 。 
在 Web 服务 器 上 执行 的 Web 部 件 和 在 Web 页 面 显示 数据 和 内 容 的 Web 部 件 。 
协作 和 会 议 模板 (网 站 模板 )。 

基于 这 种 模块 结构 的 要 求 ，WSS( 以 WSS 3.0 为 例 ) 必 须 安装 在 Windows Server 2003 
SP1 或 更 高 版 本 的 服务 器 操作 系统 上 ， 同 时 还 要 求 系统 中 已 经 安装 有 以 下 组 件 : 

® Microsoft .NET Framework 3.0; 

@ SQL Server 2005( 若 没有 安装 SQL Server 2005， 也 可 以 在 安装 WSS 3.0 的 时 候选 择 

完整 安装 ， 这 样 它 就 会 安装 一 个 Express 版 本 的 SQL Server); 
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e Intemet Information Services(IIS) 6.0( 包 含 ASPNET 2.0); 
e SMTP 服务 器 。 


3.1.2 ”WSS 的 安装 


准备 上 述 安装 环境 的 必需 组 件 后 ,下载 WSS 3.0 安装 程序 (可 以 下 载 包含 Service Pack 2 
的 完整 安装 包 )， 开 始 WSS 的 安装 过 程 。 

(D 在 服务 器 上 运行 WSS 3.0 安装 程序 (SharePoint.exe)， 显示 如 图 3-1 所 示 的 “阅读 
Microsoft 软件 许可 证 条 款 ” 对 话 框 ， 选 中 “我 接受 此 协议 的 条 款 ” 复 选 框 ， 单 击 “ 继 续 ” 
按钮 进入 下 一 步 。 

[0 
“放风 读 Miarosoft 软件 许可 证 条款 


Ma 2 Hae. wa Tam mn nnn. eermnun 


图 3-1 安装 WSS- 软 件 许可 证 


(2) 在 第 二 步 “ 选 择 所 需 的 安装 ”界面 中 ， 可 以 选择 “基本 ”或 “高 级 ”安装 模式 。 
如 果 仅 使 用 默认 设置 把 WSS 安装 到 一 个 独立 的 单 服务 器 上 ， 可 以 选择 “基本 ”安装 模式 ; 
如 果 要 进行 用 户 自 定义 设置 , 或 进行 服务 器 或 Share Point 场 安装 和 设置 , 需要 选择 “高 级 ” 
安装 模式 ， 如 图 3-2 所 示 。 


Ca 渤 择 所 需 的 安 革 


den erfert Se vees 20 到 
A 


和 


图 3-2 安装 WSS- 选 择 所 需 的 安装 
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G) 如 果 选 择 “ 高 级 ”安装 模式 ， 就 会 进入 如 图 3-3 所 示 的 高 级 设置 界面 ， 要 求 管理 
员 进 一 步 确定 服务 器 安装 类 型 ， 此 处 假定 选择 “独立 ”安装 类 型 、 数 据 文件 存放 的 位 置 以 
及 是 否 参加 客户 体验 改善 计划 。 选 择 完毕 后 ， 单 击 “ 立 即 安装 ”按钮 ， 即 可 开始 正式 安装 。 


立即 安装 介 


图 3-3 ”安装 WSS- 服 务 器 类 型 


(4) 待 安装 程序 完成 安装 后 ， 将 显示 如 图 3-4 所 示 的 安装 完成 提示 界面 但是， 必须 
经 过 相应 的 配置 以 后 才能 让 WSS 正常 工作 。 因此 还 需要 选中 “立即 运行 SharePoint 产品 和 
技术 配置 向 导 ” 复 选 框 (也 可 以 不 选中 此 项 , 待 以 后 根据 需要 再 进行 配置 , 但 不 推荐 这 样 做 )， 
然后 单 击 “ 关 闭 ” 按 钮 关闭 安装 向 导 并 启动 配置 向 导 。 


Microsoft 


Windows 
SharePoint Services 


卫 立即 运行 SharePaint 产品 和 技术 配置 /向 号 (R)> 
需要 完成 服务 器 配置 ， 必 须 运行 sharepomt 产品 和 技术 配置 向 导 。 


a 


图 3-4 安装 WSS- 安 装 完成 提示 界面 


(5) SharePoint 产品 和 技术 配置 向 导 的 欢迎 界面 如 图 3-5 所 示 。 单 击 “ 下 一 步 ”按钮 
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和 


ss 


3-5 配置 WSS- 欢 迎 界面 


(6) 在 开始 配置 前 ， 系 统 再 次 提示 配置 期 间 可 能 需要 启动 或 重 置 的 服务 清单 ， 如 图 3-6 
所 示 ， 由 管理 员 决 定 是 否 进行 配置 。 


有 os FRR 到 这 


Bw | 
图 3-6 配置 WSS- 警 告 信息 


(7) 单 击 “ 是 ”按钮 后 ， 显示 如 图 3-7 所 示 的 “正在 配置 SharePoint 产品 和 技术 ”界面 ， 
开始 配置 SharePoint。 配 置 过 程 共 包含 10 项 配置 任务 。 


ET LI 
正在 配置 SharePoint 产品 和 技术 

Ee ch 

ENON WR 

i 一 
EP 


3-7 配置 WSS- 正 在 配置 SharePoint 产品 和 技术 


(8) 配置 完成 后 ， 会 显示 如 图 3-8 所 示 的 “配置 成 功 ” 对 话 框 ， 单 击 “ 完 成 ”按钮 结 
束 WSS 的 配置 过 程 。 
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3-8 配置 WSS- 配 置 成 功 


完成 WSS 的 安装 与 配置 后 ， 系 统 会 自动 打开 WSS 站 点 的 初始 页 面 ， 如 图 3-9 所 示 。 
从 该 页 面 上 可 以 看 出 ， 默 认 是 以 当前 登录 到 服务 器 上 的 管理 员 用 户 身份 打开 页 面 的 ， 而 且 
新 建立 的 WSS 站 点 只 是 一 个 基本 框架 ， 没 有 任何 用 户 的 通知 、 事 件 、 日 历 项 、 任 务 、 链 
接 等 内 容 ， 仅 有 一 个 自动 生成 的 “Windows SharePoint Services 入 门 ” 通 知 消息 。 


SN | 
COR mm Jo 
RO D2n- Imepw jm 人 OIAV 
PR EE) 
各 工作 提 M 站 [ee A 
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图 3-9 ”WSS 网 站 默认 主页 


3.2 ”管理 WSS 站 点 


网 络 管理 员 对 WSS 站 点 的 管理 是 通过 单 击 在 WSS 站 点 首页 右 侧 的 “网 站 操作 ?按钮 ， 
从 下 拉 菜 单 中 选择 “网 站 设置 ” 实现 的 ， 选 择 相应 选项 后 ， 会 进入 “网 站 设置 ”页 面 。WSS 
将 所 有 的 管理 链接 都 集中 到 这 一 个 页 面 中 ， 非 常 方便 管理 员 进 行 设置 。 
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3.2.1 用户 和 权限 管理 


默认 情况 下 ， 只 有 管理 员 (Administrator) 才 有 对 WSS 服务 器 进行 访问 和 管理 的 权限 ， 
其 他 用 户 帐户 对 WSS 站 点 的 访问 都 将 被 拒绝 ， 如 图 3-10 所 示 。 因 此 管理 员 必 须 及 时 对 用 
户 和 SharePoint 用 户 组 进行 设置 和 对 权限 进行 管理 ， 为 不 同 的 用 户 和 SharePoint 组 赋予 不 
同 的 权限 ， 使 不 同 的 用 户 在 访问 SharePoint 网 站 时 能 执行 不 同 的 操作 。 


9 荆 :jay 问 
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图 3-10 用 户 和 权限 管理 -拒绝 访问 提示 


WSS 的 用 户 和 权限 管理 包括 人 员 和 组 、 网 站 集 管理 员 、 高 级 权限 3 个 部 分 。 
1. 人 员 和 组 管理 


以 管理 员 身份 登录 到 WSS 站 点 后 ， 即 可 通过 首页 左 侧 的 “人 员 和 组 ”链接 进入 “人 
员 和 组 管理 ”页 面 ， 如 图 3-11 所 示 。 默 认 状 态 下 ，WSS 已 自动 生成 了 以 下 3 个 SharePoint 
用 户 组 : 

e 工作 组 网 站 成 员 ; 该 组 人 员 拥 有 指定 SharePoint 网 站 的 参与 讨论 权限 ; 

e 工作 组 网 站 访问 者 : 该 组 人 员 拥有 指定 SharePoint 网 站 的 读 取 权限 ; 

e 工作 组 网 站 所 有 者 : 该 组 人 员 拥 有 指定 SharePoint 网 站 的 完全 控制 权限 。 


于 符 旨 网 站 成 员 
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图 3-11 用 户 和 权限 管理 -人 员 和 组 管理 


FE 


在 “人 员 和 组 管理 ”页 面 中 ， 管 理 员 可 以 根据 需要 查看 当前 某 个 工作 组 的 成 员 ， 向 工 
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作 组 或 网 站 中 添加 用 户 ， 如 图 3-12 所 示 ， 从 工作 组 中 删除 用 户 , 或 对 当前 用 户 组 设置 进行 
更 改 ， 如 图 3-13 所 示 。 如 果 系统 自动 生成 的 SharePoint 用 户 组 不 能 满足 要 求 ， 管 理 员 还 可 
以 根据 需要 随时 添加 新 的 用 户 组 并 设置 其 属性 和 权限 ， 如 图 3-14 所 示 。 


arn 


wer ms 
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图 3-14 用户 和 权限 管理 -新 建 用 户 组 


在 添加 用 户 时 ， 可 以 在 添加 用 户 界面 中 单 击 “添加 所 有 验证 用 户 ” 链 接 ， 一 次 性 地 将 
当前 域 中 的 所 有 认证 用 户 添加 到 SharePoint 用 户 组 中 , 以 便 授 予 这 些 用 户 访问 WSS 网 站 的 
权限 。 


2. 网 站 集 管 理 员 管理 


默认 状态 下 ， 只 有 管理 员 才 具有 对 WSS 站 点 的 所 有 网 站 拥有 完全 控制 权限 。 但 是 ， 
仅 由 管理 员 来 完成 所 有 的 网 站 管理 工作 显然 工作 量 太 大 ， 为 此 管理 员 可 以 将 自己 所 信任 的 
域 用 户 添加 为 网 站 集 管理 员 ， 由 这 些 网 站 集 管理 员 协 助 进行 管理 ， 如 图 3-15 所 示 。 管理 员 
可 以 根据 需要 添加 多 个 网 站 集 管理 员 ， 但 是 需要 注意 的 是 ， 只 能 添加 单个 用 户 ， 而 不 能 将 
用 户 组 添加 为 网 站 集 管理 员 。 
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3-15 ”用 户 和 权限 管理 -网 站 集 管理 员 


3. 高 级 权限 管理 


高 级 权限 管理 主要 以 权限 管理 为 主 。 管 理 员 可 以 通过 高 级 权限 管理 来 编辑 用 户 组 的 权 
限 ， 甚 至 是 完全 删除 其 权限 ， 如 图 3-16 所 示 ; 也 可 以 通过 “设置 ”菜单 下 的 “权限 级 别 ” 
命令 来 配置 当前 网 站 上 的 可 用 权限 级 别 。 如 果 当 前 可 用 的 权限 级 别 不 能 满足 要 求 ， 管 理 员 
可 以 通过 单 击 “ 添 加 权限 级 别 ” 链 接 切 换 到 “添加 权限 级 别 ” 页 面 ， 如 图 3-17 所 示 ， 自 定 
义 新 的 权限 级 别 ， 以 便 给 用 户 和 用 户 组 提供 新 的 权限 设置 选项 。 


3-17 用 户 和 权限 管理 -添加 权限 级 别 
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3.2.2 ”外 观 管 理 


外 观 管理 的 目的 是 使 WSS 网 站 的 外 观 更 加 符合 组 织 的 要 求 ， 以 便 在 WSS 站 点 中 能 够 
体现 出 企业 、 公 司 或 组 织 的 相关 信息 。 外 观 管理 主要 包括 以 下 5 个 方面 的 内 容 。 

1. 标题 、 说 明和 图 标 

用 来 设置 网 站 的 标题 和 说 明 。 标 题 将 显示 在 网 站 的 每 一 页 中 ; 说 明 将 显示 在 主页 上 ; 
图 标 是 显示 在 标题 旁 的 小 图 像 , 一 般 用 来 显示 企业 、 公司 或 组 织 的 徽标 。 设置 页 面 如 图 3-18 
所 示 。 如 图 3-19 所 示 是 设置 标题 说 明和 图 标 以 后 的 网 站 首页 。 


人 


图 3-19 外 观 管理 -设置 标题 、 说 明 、 图 标 后 的 网 页 效果 


2. 树 视图 


在 网 站 设置 的 “ 树 视图 ” 页 面 中 , 管理 员 可 以 设置 用 户 页 面 的 左 侧 显示 为 “快速 启动 ” 
栏 还 是 “ 树 视图 ”， 或 者 两 种 都 显示 ， 如 图 3-20 所 示 。 
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3-20 ”外 观 管理 -启用 树 视图 


3. 网 站 主题 


通过 使 用 网 站 主题 ， 可 以 利用 系统 内 置 的 若干 种 主题 形式 来 迅速 改变 网 站 整体 的 字体 
和 配色 方案 ,在 网 站 主题 设置 页 面 ， 如 图 3-21 所 示 , 管理 员 可 以 从 众多 主题 中 进行 选择 并 
预览 效果 ， 如 果 觉 得 所 选 主题 合适 ， 单 击 “ 应 用 ”按钮 即 可 将 该 主题 应 用 到 整个 网 站 。 
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图 3-21 外 观 管理 -网 站 主题 


4. 顶部 链接 栏 


通过 “顶部 链接 栏 ”设置 功能 (如 图 3-22 所 示 ), 管理 员 可 以 查看 当前 已 有 的 顶部 链接 ， 
建立 新 的 顶部 链接 ,删除 现 有 链接 或 更 改 现 有 各 链接 的 显示 顺序 。 如 图 3-23 所 示 的 是 添加 
了 两 个 项 部 链接 栏 后 的 网 站 首页 。 


6 Windows Server 2008 系统 管理 


图 3.23 i 


5. 快速 启动 


“快速 启动 ”设置 功能 允许 管理 员 根 据 需 要 将 新 的 链接 或 标题 添加 到 “快速 启动 ” 栏 
的 相应 位 置 ， 以 方便 用 户 在 浏览 网 页 时 迅速 访问 链接 或 标题 内 容 。 该 设置 页 面 如 图 3-24 
所 示 。 
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图 3-24 外观 管理 - 快速 启动 设置 
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3.2.3 ”网 站 管理 


网 站 管理 是 WSS 网 站 设置 的 重要 内 容 ， 主 要 包括 以 下 5 个 方面 的 内 容 。 
1. 区 域 设置 


“区 域 设置 ”页 面 允 许 管理 员 指 定 WSS 网 站 的 日 期 、 数 字 和 排序 方式 所 基于 的 区 域 
设置 , 同时 还 可 设 定 日 历 的 类 型 、 工 作 周 的 星期 范围 及 所 用 的 时 间 格 式 等 , 如 图 3-25 所 示 。 


图 3-25 ”网 站 管理 -区 域 设置 


2. 网 站 库 和 列表 


在 如 图 3-26 所 示 的 “网 站 库 和 列表 ”设置 页 面 中 ， 管 理 员 可 以 针对 当前 列表 中 的 各 个 
项 目 (如 共享 文档 、 链 接 、 任 务 、 日 历 等 ) 进 行 单独 的 自 定义 设置 ， 或 者 在 列表 中 添加 新 的 项 
目 ， 如 通知 、 联 系 人 、 问 题 跟踪 、 调 查 等 。 下 面 以 自 定义 “日 历 ” 设 置 为 例 ， 如 图 3-27 所 示 ， 
管理 员 不 仅 可 以 设置 日 历 显 示 的 标题 、 说 明 信 息 和 导航 方式 等 ， 还 可 以 对 日 历 进 行 各 种 高 级 
设置 。 
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图 3-27 网 站 管理 - 自 定义 日 历 


3. 搜索 可 见 性 


“搜索 可 见 性 ”设置 功能 可 以 让 管理 员 决定 是 否 允 许 网 站 显示 在 搜索 结果 中 ， 并 指定 
是 否 为 ASPX 页 面 编制 索引 ， 如 图 3-28 所 示 。 


图 3-28 网 站 管理 -搜索 可 见 性 


4. 网 站 和 工作 区 


WSS 站 点 由 顶级 网 站 (处 于 一 个 网 站 集 的 层次 结构 项 部 的 网 站 ) 和 子 网 站 (顶级 网 站 的 
指定 子 目录 中 存储 的 完整 网 站 ) 构 成 。 它们 将 网 站 内 容 划 分 为 多 个 可 进行 单独 管理 的 不 同 子 
网 站 。 一 个 项 级 网 站 可 有 多 个 子 网 站 ， 子 网 站 本 身 也 可 以 有 多 个 子 网 站 。 这 种 层次 结构 使 
整个 工作 组 拥有 一 个 主要 的 工作 网 站 ， 并 且 附 属 项 目 还 有 单独 的 工作 网 站 或 共享 网 站 。 项 
级 网 站 和 子 网 站 允许 对 网 站 的 功能 和 设置 进行 不 同 级 别 的 控制 。 网 站 管理 员 控 制 创 建 、 访 
问 网 站 内 容 以 及 为 网 站 添加 内 容 的 权限 。 
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工作 区 实质 上 是 一 种 类 型 独特 的 网 站 ， 它 为 工作 组 成 员 提供 了 文档 协作 或 会 议 相 关 资 
源 的 协作 工具 及 服务 。 工 作 区 可 以 包含 一 些 信息 列表 ， 比 如 相关 的 文档 、 工 作 组 成 员 和 
链接 。 
通过 “网 站 管理 ”功能 中 的 “网 站 和 工作 区 ”管理 ， 如 图 3-29 所 示 ， 网 络 管理 员 可 以 
对 子 网 站 和 工作 区 进行 相应 的 添加 或 删除 操作 ， 或 者 决定 将 “创建 子 网 站 ”的 权限 添加 到 
“设计 ”权限 级 别 还 是 “参与 讨论 ”权限 级 别 。 新 建 的 SharePoint 网 站 页 面 如 图 3-30 所 示 。 
各 项 设置 完成 后 ， 就 会 由 WSS 自动 创建 符合 要 求 的 子 网 站 ， 如 图 3-31 所 示 。 该 网 站 有 自 
己 的 外 观 、 日 历 和 任务 列表 、 权 限 设置 等 属性 。 如 图 3-32 所 示 的 是 一 个 建 好 的 SharePoint 
工作 区 (决议 会 议 类 型 )。 该 工作 区 也 有 自己 的 外 观 、 用 户 和 权限 设置 等 属性 ， 同 时 还 有 与 
会 者 管理 、 议 程 管理 、 目 标 和 任务 管理 及 决议 管理 等 符合 决议 会 议 类 型 特性 的 设置 内 容 。 
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图 3-30 网 站 管理 -新 建 SharePoint 网 站 
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图 3-32 网 站 管理 - 建 好 的 SharePoint 工作 区 


5. 删除 此 网 站 


当 网 站 或 工作 区 使 用 完毕 ， 已 无 继续 存在 的 必要 时 ， 就 可 以 通过 “网 站 管理 ”功能 中 
的 “删除 此 网 站 ”来 将 其 删除 。 删 除 前 ， 系 统 会 再 次 提示 用 户 删除 网 站 会 产生 的 后 果 ， 如 
图 3-33 所 示 ， 单 击 “ 删 除 ” 按 钮 即 可 删除 ， 否 则 取消 删除 。 
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3-33 ”网 站 管理 -删除 网 站 


3.2.4 ”网 站 集 管理 


网 站 集 就 是 服务 器 上 具有 相同 所 有 者 且 共 享 管理 设置 的 一 组 网 站 。 每 个 网 站 集 都 包含 
一 个 顶级 网 站 ， 并 可 能 包含 一 个 或 多 个 子 网 站 。 网 站 集 管理 为 这 一 组 网 站 提供 了 统一 的 管 
理 方式 ， 主 要 包括 以 下 3 方面 内 容 。 


1. 回收 站 


WSS 具有 “回收 站 ”功能 。 当 管理 员 将 以 前 建立 的 议程 、 任 务 、 通 知 、 目 标 等 项 目 删 
除 后 ， 系 统 并 非 将 相应 的 文件 信息 从 系统 中 真正 删除 ， 而 是 先 存放 到 回收 站 中 。 如 果 管 理 
员 发 现 进行 了 误 删除 ， 还 可 以 通过 “网 站 集 管理 ”中 的 “回收 站 ”功能 找 回 原来 的 项 目 。 
如 图 3-34 所 示 的 是 “回收 站 ”页 面 ， 该 页 面 上 列 出 了 当前 网 站 集中 所 有 曾 被 删除 的 项 目 。 
管理 员 可 以 根据 需要 选择 一 个 或 多 个 项 目 ， 然 后 单 击 “还 原 所 选项 目 ” 链 接 进行 还 原 ， 或 
者 单 击 “ 删 除 所 选项 目 ” 链 接 进 行 真正 的 删除 。 
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3-34 ”网 站 集 管理 -网 站 集 回收 站 


2. 网 络 层次 结构 
“网 络 层次 结构 ”页 面 显示 了 当前 网 站 集 所 包含 的 所 有 网 站 和 工作 区 的 层次 关系 ， 如 
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3-35 所 示 , 管理 员 可 以 通过 左 侧 的 网 站 URL 链接 直接 进入 该 网 站 , 或 者 通过 右 侧 的 “ 管 
理 ” 链 接 切 换 到 相应 网 站 的 管理 页 面 。 
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图 3-35 ”网 站 集 管理 -网 站 层次 结构 


3. 门户 网 站 连接 


如 果 配 置 “ 门 户 网 站 连接 ”( 如 图 3-36 所 示 )， 可 以 将 用 户 的 网 站 连接 到 与 WSS 相 兼 
容 的 门户 网 站 ， 使 用 户 能 够 对 网 站 中 的 列表 (如 通知 、 任 务 等 ) 进 行 分 类 、 连 接 到 用 户 配置 
文件 及 门户 搜索 服务 和 对 其 他 信息 进行 操作 。 如 果 要 配置 “门户 网 站 连接 ”， 只 需 在 “ 门 
户 网 站 连接 ”页 面 中 选择 “连接 到 门户 网 站 ”， 然 后 将 门户 网 站 的 网 址 和 名 称 输入 相应 的 
文本 框 ， 单 击 “确定 ”按钮 即 可 。 
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3-36 ”网 站 集 管理 -门户 网 站 连接 


3.2.5 网 页 布局 管理 


默认 情况 下 ，WSS 站 点 的 各 个 页 面 的 布局 已 经 能 够 满足 用 户 的 需求 了 ,如 用 户主 页 上 
通知 、 日 历 项 等 信息 ， 但 有 时 候 用 户 可 能 想 要 对 页 面 上 显示 的 信息 作 进 一 步 的 规划 ， 以 保 
证 网 页 更 符合 自己 的 使 用 习惯 和 要 求 。 
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要 对 页 面 布局 进行 个 性 化 设置 ， 首 先 需 要 确保 用 户 有 足够 的 权限 。 一 般 情况 下 ， 网 站 
访问 者 是 没有 权限 对 页 面 进行 个 性 化 设置 的 ， 只 有 网 站 成 员 或 网 站 所 有 者 才能 进行 个 性 化 
设置 。 对 页 面 的 个 性 化 设置 可 分 为 两 种 不 同 的 类 型 : 一 是 编辑 个 人 版 本 ， 此 版 本 的 页 面 设 
置 只 影响 到 个 人 用 户 ; 二 是 编辑 共享 版 本 ， 此 版 本 的 页 面 会 影响 到 所 有 访问 该 页 面 的 用 户 
(如 果 用 户 没有 设置 个 人 版 本 的 话 )。 在 访问 某 个 网 页 的 时 候 ， 某 个 用 户 针对 该 网 页 设 定 的 
个 人 版 本 的 网 页 布局 会 覆盖 管理 员 共 享 版 本 的 网 页 布局 ， 除 非 该 用 户 取消 了 对 网 页 的 个 性 
化 设置 并 重 置 网 页 内 容 。 

登录 到 WSS 站 点 后 ， 页 面 的 右上 角 会 显示 当前 登录 的 用 户 名 ， 在 用 户 名 上 单 击 ， 然 
后 在 弹出 的 菜单 中 选择 “对 本 页 面 进行 个 性 化 设置 ”， 即 可 开始 编辑 页 面 的 个 人 版 本 ， 如 
3-37 所 示 。 如 果 当 前 登录 用 户 拥有 相应 的 权限 (属于 “网 站 所 有 者 ”), 在 页 面 右 侧 单 击 “ 网 
站 操作 ”按钮 ， 然 后 选择 “编辑 网 页 ”命令 ， 即 可 开始 编辑 页 面 的 共享 版 本 ， 如 图 3-38 所 示 。 
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无 论 是 编辑 个 人 版 本 还 是 共享 版 本 ， 在 编辑 网 页 时 都 可 以 根据 需要 改变 当前 页 面 上 各 
个 Web 部 件 的 相对 位 置 (通过 简单 的 拖 搜 即 可 实现 ), 也 可 以 增加 新 的 Web 部 件 、 设 置 Web 
部 件 的 属性 或 删除 现 有 的 Web 部 件 。 在 增添 Web 部 件 时 , 用 户 需 要 通过 “添加 Web 部 件 ” 
的 网 页 对 话 框 来 选择 一 个 或 多 个 Web 部 件 ， 以 添加 到 页 面 中 ， 如 图 3-39 所 示 。 
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图 3-39 网 页 布局 管理 -添加 Web 部 件 


3.2.6 ”通知 管理 


通知 功能 使 用 户 能 够 非常 方便 地 在 WSS 网 站 发 布 各 种 通知 信息 。 若 要 添加 通知 ， 用 
户 只 需 登录 到 WSS 网 站 ， 然 后 在 主页 上 单 击 “添加 新 通知 ”链接 即 可 。 添 加 通知 不 要 求 
用 户 有 任何 网 页 制作 技术 ， 只 需 像 发 送 邮件 一 样 确定 通知 的 标题 和 正文 ， 以 及 到 期 日 期 (用 
以 设 定 该 通知 自动 删除 的 日 期 )， 如 有 需要 ， 还 可 以 添加 “附加 文件 ”， 如 图 3-40 所 示 。 
通知 内 容 填 写 完毕 后 ， 单 击 “确定 ”按钮 即 可 发 布 通知 。 
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3-40 通知 管理 -新 建 项 目 
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发 布 通知 后 ， 其 他 用 户 登录 到 WSS 网 站 时 ， 就 会 在 主页 上 直接 看 到 这 条 新 的 通知 ， 
如 图 3-41 廊 示 。 如 果 发 现 通知 内 容 有 误 ， 或 者 需要 进一步 修改 ， 还 可 以 重新 编辑 通知 。 只 
需 在 主页 上 单 击 相应 的 通知 链接 ， 即 可 进入 查看 通知 页 面 ， 如 图 3-42 所 示 。 在 此 页 面 上 ， 


用 户 可 以 通过 “编辑 项 目 ” 链 接 重 新 编辑 通知 ， 也 可 以 通过 “删除 项 目 ”链接 将 该 通知 删 
去 , 还 可 以 通过 “管理 权限 ”链接 控制 不 同 级 别 的 用 户 或 用 户 组 针对 该 通知 所 拥有 的 权限 。 


ni 


EE 


图 3-41 通知 管理 -主页 上 的 通知 消息 图 3-42 通知 管理 -查看 通知 页 面 


在 查看 通知 页 面 中 ， 用 户 还 可 以 通过 “通知 我 ”链接 新 建 一 个 以 电子 邮件 进行 通知 的 
服务 ， 如 图 3-43 所 示 。 建 立 了 这 种 服务 以 后 ，WSS 会 自动 跟踪 指定 的 项 目 、 文 档 、 列 表 
或 库 的 内 容 ， 并 在 其 发 生 更 改 时 自动 发 送 电子 邮件 通知 用 户 。 此 项 邮件 通知 功能 不 仅 可 以 
在 通知 中 使 用 ， 也 可 以 在 日 历 、 任 务 等 项 目 中 使 用 。 需 要 注意 的 是 ， 要 在 WSS 网 站 上 启 
用 该 功能 ， 必 须 先 在 服务 器 或 虚拟 服务 器 级 别 上 配置 并 启用 电子 邮件 服务 器 。 
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图 3-43 通知 管理 -新 建 邮 件 通知 


3.2.7 日 历 管理 


日 历 可 以 帮助 用 户 管理 与 特定 日 期 相关 的 各 种 项 目 ， 如 即将 举行 的 会 议 、 时 间 期 限 和 
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法 定 节假日 等 。 通 过 在 日 历 中 添加 相应 的 事件 ， 用 户 可 以 规划 、 跟 踪 需 要 在 特定 日 期 或 时 
间 段 完成 的 工作 。 

如 图 3-44 所 示 的 是 一 个 用 户 的 日 历 页 面 。 在 此 页 面 中 , 用 户 可 以 审阅 当前 日 历 中 所 包 
含 的 各 个 项 目 。 如 需 增 加 新 的 项 目 ， 只 需 选 择 “ 新 建 ” 菜 单 中 的 “新 建 项 目 ” 命 令 ， 即 可 
进入 “日 历 一 新 建 项 目 ” 页 面 ， 如 图 3-45 所 示 。 在 此 页 面 中 ， 用 户 可 以 指定 新 建 项 目的 标 
题 、 所 在 地 点 及 起 止 时 间 , 并 根据 需要 加 入 项 目 说 明 。 如 有 必要 , 还 可 以 将 项 目 指定 为 “全 
天 活动 ”， 或 者 设 定 项 目的 重复 方式 ， 如 图 3-46 所 示 。 如 果 项 目 是 一 次 会 议 ， 则 在 新 建 该 
项 目的 时 候 ， 还 可 以 选择 使 用 “会 议 工作 区 ”， 以 方便 用 户 将 来 更 好 地 组 织 与 此 事件 相关 
的 与 会 者 、 议 程 、 文 档 、 纪 要 和 其 他 各 种 相关 信息 。 


图 3-45 日 历 管理 -新 建 项 目 
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图 3-46 日 历 管理 - 设 定 重复 


项 目 添加 完毕 后 ， 即 可 显示 在 日 历 的 相应 日 期 位 置 。 如 需 修 改 或 删除 某 个 项 目 ， 只 需 
在 日 历 中 单 击 项 目 链接 ， 进 入 项 目 相关 页 面 (如 图 3-47 所 示 ) 后 ， 单 击 “ 编 辑 项 目 ” 链 接 或 
“删除 项 目 ” 链 接 。 需 要 注意 的 是 ， 对 于 重复 项 目 ， 采 用 上 述 方法 只 能 删除 选 定 日 期 的 这 
一 次 项 目 。 若 要 删除 整个 重复 项 目 ， 需 要 单 击 重复 项 目 相关 页 面 上 的 “编辑 序列 ”链接 ， 
然后 在 “编辑 序列 ”页 面 中 选择 “删除 项 目 ”。 
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图 3-47 日 历 管理 -编辑 或 删除 项 目 


3.2.8 任务 管理 


“任务 ”列表 可 以 用 来 跟踪 用 户 或 用 户 组 需要 完成 的 工作 。 通 过 “任务 ”列表 ， 用 户 
可 以 随时 查看 自己 目前 需要 完成 的 任务 标题 、 任 务 所 分 配 的 对 象 、 任 务 的 进行 状态 、 进 度 
和 截止 日 期 等 信息 ， 并 可 以 根据 需要 随时 更 新 相关 的 内 容 ， 以 使 其 他 用 户 随时 了 解 任务 
状况 。 
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默认 情况 下 ，“ 任 务 ” 列 表 的 具体 内 容 并 不 会 出 现在 WSS 站 点 的 主页 上 。 用 户 可 以 
通过 编辑 网 页 的 方式 将 “任务 ”所 对 应 的 Web 部 件 添 加 到 网 页 中 以 便 查 看 ， 或 者 通过 主页 
左 侧 的 “任务 ”链接 切换 到 “任务 ”列表 页 面 ， 如 图 3-48 所 示 。 
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图 3-48 任务 管理 -任务 列表 


如 果 要 新 建 任务 ， 可 以 通过 单 击 “ 任 务 ” 列 表 页 面 中 的 “新 建 ”按钮 ， 在 弹出 的 下 拉 
菜单 中 选择 “新 建 项 目 ”， 即 可 切换 至 “任务 : 新 建 项 目 ” 页 面 ， 如 图 3-49 所 示 。 在 此 页 
面 中 ， 用 户 可 以 设置 任务 的 标题 、 优 先 级 、 状 态 、 完 成 百分比 、 分 配对 象 、 说 明 信 息 和 起 
止 时 间 等 内 容 ， 如 有 必要 ， 还 可 以 添加 与 任务 相关 的 文件 。 


图 3-49 任务 管理 -新 建 项 目 


任务 添加 完毕 后 ， 还 可 以 根据 需要 进行 修改 或 是 删除 。 只 需 在 “任务 ”列表 页 面 中 选 
择 相应 的 任务 ， 单 击 任务 标题 右 侧 的 箭头 ， 在 弹出 的 下 拉 菜 单 中 选择 “编辑 项 目 ” 或 “ 删 
除 项 目 ” 即 可 ， 如 图 3-50 所 示 ; 也 可 以 通过 单 击 任务 标题 切换 到 任务 具体 信息 页 面 ， 如 图 
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3-51 所 示 ， 然 后 再 单 击 “ 编 加 项目 ”按钮 或 “删除 项 目 ” 按 钮 即 可 。 
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图 3-50 任务 管理 -编辑 或 删除 项 目 图 3-51 任务 管理 -任务 具体 信息 


3.2.9 ”链接 管理 


除了 WSS 站 点 本 身 以 外 ， 用 户 还 需要 经 常 访 问 其 他 的 站 点 ， 为 了 方便 用 户 的 访问 ， 
管理 员 可 以 把 这 些 站 点 的 地 址 链接 加 入 到 WSS 站 点 的 首页 当中 。 要 添加 新 的 链接 ， 只 需 
在 WSS 站 点 主页 上 单 击 “ 添 加 新 链接 ”链接 即 可 。 注 意 ， 没 有 相应 权限 的 用 户主 页 上 是 
不 会 出 现 该 链接 的 。 如 图 3-52 所 示 的 就 是 新 建 链接 项 目的 页 面 。 在 此 页 面 中 ， 管 理 员 可 以 
指定 链接 的 URL 地 址 、 链 接 的 说 明 及 注释 信息 。 单 击 “确定 ”按钮 即 可 建立 一 个 新 的 链 
接 。 如 图 3-53 所 示 的 是 建立 若干 链接 以 后 的 WSS 站 点 主页 。 
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图 3-52 链接 管理 -新 建 链接 图 3-53 ”链接 管理 -添加 链接 的 效果 


链接 添加 完毕 后 ， 还 可 以 随时 根据 需要 进行 修改 或 删除 。 管 理 员 只 需 单 击 WSS 站 点 
主页 上 的 名 为 “链接 ”的 链接 ， 即 可 切换 到 “链接 ”列表 页 面 进行 管理 ， 如 图 3-54 所 示 。 
管理 员 在 相应 链接 的 URL 地 址 上 单 击 一 下 ， 即 可 在 弹出 的 快捷 菜单 中 选择 “编辑 项 目 ” 
或 “删除 项 目 ” 来 实现 修改 链接 或 删除 链接 。 
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图 3-54 ”链接 管理 -链接 基本 操作 


除 此 以 外 ， 管 理 员 还 可 以 通过 “链接 ”列表 页 面 中 的 “操作 ”按钮 的 各 下 拉 菜 单项 实 
现 以 数据 表格 式 批量 编辑 链接 项 目 、 更 改 链接 项 目的 顺序 或 将 链接 列表 导出 到 电子 表格 等 
操作 ， 如 图 3-55 所 示 。 
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3-55 ”链接 管理 -链接 高 级 操作 


3.2.10 ”文档 库 管理 


用 来 存储 、 共 享 和 编辑 文件 的 库 是 WSS 最 主要 的 功能 之 一 。WSS 3.0 支持 以 下 4 种 类 
型 的 库 。 
e 文档 库 : 当 需 要 共享 文档 或 其 他 文件 集合 时 , 可 以 创建 文档 库 。 文档 库 支持 文件 夹 、 
版 本 控制 和 签 出 等 功能 。 
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。 表单 库 : 当 需 要 管理 基于 XML 的 业务 表单 时 ， 可 以 创建 表单 库 。 
e Wiki 网 页 库 : 当 需 要 拥有 相互 连接 的 Wiki 网 页 集 时 , 可 以 创建 Wiki 网 页 库 。Wiki 
网 页 库 支 持 图 片 、 表 格 、 超 链接 和 Wiki 链接 。 

e 图 片 库 : 当 需 要 共享 图 片 时 ， 可 以 创建 图 片 库 。 图片 库 可 以 提供 特殊 的 图 片 管理 和 

显示 ， 例 如 缩 略图 、 下 载 选 项 和 幻灯 片 放映 。 

一 个 SharePoint 站 点 可 以 包含 若干 的 文档 、 表 单 、 图 片 和 Wiki 网 页 库 。 一 般 情况 下 ， 
文档 库 是 最 基本 、 最 重要 也 是 使 用 最 广泛 的 库 类 型 。WSS 3.0 文档 库 提供 了 强大 的 Web 内 
容 管理 功能 ， 可 以 用 于 替换 现存 的 文档 共享 方案 。WSS 3.0 文档 库 可 以 实现 以 下 功能 : 

。 为 所 有 文档 提供 项 目 级 别 的 安全 。 

使 用 SharePoint 内 署 的 工作 流 功 能 将 业务 流程 附加 到 文档 中 。 

为 文档 及 其 内 容 提供 强大 的 版 本 控制 。 

为 部 门 和 项 目 组 提供 一 个 基于 Web 的 、 简 单 的 组 织 文 件 的 方法 。 
当 文 件 被 修改 、 升 级 、 添 加 附件 或 删除 时 通知 用 户 。 

以 灵活 、 可 定制 的 视图 显示 每 个 文档 库 中 的 内 容 。 

为 管理 文档 的 主要 和 次 要 版 本 提供 内 容 审批 功能 。 

默认 情况 下 ，WSS 站 点 会 创建 一 个 名 为 “共享 文档 ”的 文档 库 ， 用 以 存放 需要 与 工作 
组 成 员 共 享 的 文档 。 当 然 ， 在 WSS 站 点 中 也 可 以 根据 需要 由 管理 员 创 建新 的 文档 库 。 具 
体 步骤 如 下 : 

(1) 以 管理 员 身 份 登录 WSS 站 点 ， 在 主页 上 单 击 “ 网 站 操作 ”按钮 ， 在 弹出 的 下 拉 菜 
单 中 选择 “创建 ”命令 ， 如 图 3-56 所 示 。 

(2) 在 接 下 来 的 “创建 ”页 面 中 单 击 “ 文 档 库 ”链接 ， 以 开始 创建 新 的 文档 库 ， 如 图 
3-57 所 示 。 


| 


图 3-56 文档 库 管理 -创建 图 3-57 文档 库 管理 -新 建文 档 库 


G) 在 随后 的 “新 建 ” 页 面 中 输入 新 文档 库 的 名 称 、 说 明 信 息 ， 指 定 是 否 在 “快速 启 
动 ” 栏 上 显示 该 文档 库 ， 以 及 是 否 在 每 次 编辑 此 文档 库 的 文件 时 创建 版 本 ， 最 后 指定 此 文 
档 库 中 新 文件 所 采用 的 文档 模板 ， 如 图 3-58 所 示 。 单 击 “ 创 建 ”按钮 ， 即 可 建立 新 的 文 
档 库 。 
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3-58 文档 库 管理 -输入 文档 库 参 数 


新 建立 的 文档 库 是 空 的 ， 不 包括 任何 文档 。 用 户 可 以 通过 文档 库 页 面 上 的 “新 建 ” 菜 
单 中 的 “新 建文 档 ” 命 令 直 接 在 库 中 创建 新 文档 ， 如 图 3-59 所 示 ， 也 可 以 通过 “上 载 ” 菜 
单 中 的 “上 载 单个 文档 ”命令 将 某 个 现 有 文档 添加 到 文档 库 中 。 

添加 文档 后 ， 即 可 在 文档 库 页 面 上 查看 该 文档 的 类 型 、 名 称 、 修 改 时 间 及 修改 者 等 信 
息 。 如 需 对 文档 做 进一步 操作 ， 可 以 在 文档 名 称 上 单 击 ， 然 后 在 弹出 的 菜单 中 选择 相应 的 
命令 ， 如 图 3-60 所 示 。 下 面 列 出 了 各 个 命令 所 对 应 的 功能 。 


nan 


图 3-59 文档 库 管理 -新 建文 档 图 3-60 文档 库 管理 -文档 的 进一步 操作 


El 


。 查看 属性 :显示 一 个 列 出 文档 所 有 可 用 属性 描述 信息 的 Web 页 ， 里 面 也 包含 可 用 
的 选项 ， 即 编辑 、 删 除 、 管 理 权 限 、 管 理 副本 、 签 出 、 版 本 历史 记录 、 通 知 我 。 这 
个 页 面 也 显示 不 同 用 户 创建 和 最 后 修改 的 日 期 和 时 间 ， 如 图 3-61 所 示 。 

。 编辑 属性 : 显示 一 个 用 来 修改 当前 文件 信息 的 Web 页 ， 也 可 以 选择 删除 项 目 。 这 
个 页 面 还 显示 了 文档 的 修订 版 本 及 创建 和 每 次 修改 所 涉及 的 用 户 、 日 期 和 时 间 。 

。 管理 权限 : 显示 一 个 可 以 管理 文件 权限 的 Web 页 。 页 面 说 明 描述 了 文档 的 继承 状 
态 。 管理 员 可 以 管理 继承 的 权限 或 者 编辑 权限 , 如 果 编辑 权限 , 继承 的 权限 将 取消 ， 
这 时 可 以 为 这 个 对 象 设置 独立 的 权限 。 

。 在 (适当 的 Office 程序 ) 中 编辑 : 启动 适当 的 Office 应 用 程序 ， 并 打开 当前 的 文档 。 
根据 文档 类 型 ， 默 认 打 开 文 件 的 应 用 程序 会 相应 变化 。 如 果 文 件 的 扩展 名 是 .docx， 
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那么 选项 则 是 “在 Microsoft Office Word 中 编辑 ”。 

e 删除 : 这 个 选项 可 以 把 当前 文档 从 文档 库 中 删除 。 

e 发 送 到 : 让 用 户 可 以 把 文件 发 送 到 其 他 位 置 或 者 执行 附加 的 操作 。“ 发 送 到 ”的 子 选项 

包括 “其 他 位 置 ”、“ 通 过 电子 邮件 发 送 链接 ”、“ 创 建文 档 工作 区 ”和 “下 载 副本 ”。 

签 出 : 锁定 文档 库 中 的 文档 拷贝 ， 除 了 签 出 这 个 文件 的 人 , 没有 人 可 以 修改 这 个 文 

件 。 当 签 出 生效 以 后 ，“ 签 入 ”命令 将 会 出 现在 这 个 位 置 。 

e 版 本 历史 记录 : 如 果 文档 库 打开 了 文档 历史 记录 功能 , 这 个 选项 会 显示 出 所 有 的 列 
表 。 这 个 列表 包含 历史 记录 数量 、 最 后 修改 时 间 、 相 关 人 员 、 文 档 大 小 以 及 相关 的 
注释 ， 如 图 3-62 所 示 。 管 理 员 可 以 删除 所 有 历史 记录 ， 人 删除 草稿 历史 记录 ， 或 恢 
复 以 前 的 历史 记录 。 

e 通知 我 : 在 “通知 我 ”页 面 上 可 以 决定 文档 发 生变 化 的 通知 邮件 的 发 送 对 象 ， 以 及 
邮件 的 发 送 频 度 。 
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图 3-61 文档 库 管理 -查看 属性 图 3-62 文档 库 管理 -文档 版 本 历史 记录 


通常 文档 都 是 事先 由 用 户 创建 好 的 ， 然 后 登录 到 WSS 站 点 进行 上 传 。 事 实 上 ，Word 
内 置 了 文档 发 布 功能 ， 允 许 用 户 在 文档 编辑 完成 后 ， 直 接 上 传 到 WSS 网 站 并 创建 一 个 文 
档 工作 区 ， 而 不 必 登 录 到 WSS 站 点 去 上 传 (需要 用 户 修改 系统 Internet 属性 ， 预 先 将 WSS 
站 点 地 址 添加 到 可 信 站 点 区 域 )。 以 Word 2007 为 例 ， 具 体操 作 步 又 如 下 : 

(1) 在 完成 文档 编辑 操作 后 ， 激 活 Word 的 主 菜单 ， 选 择 “ 发 布 ” 菜 单 中 的 “创建 文 
档 工作 区 ”项 命令 ， 如 图 3-63 所 示 。 
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3-63 ”文档 库 管理 -Word 发 布 
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QQ) 在 “文档 管理 ” 侧 边栏 中 输入 文档 工作 区 的 名 称 (默认 为 该 文档 的 名 称 ) 和 新 工作 区 
所 在 的 位 置 ( 即 WSS 站 点 地 址 )， 如 图 3-64 所 示 。 
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图 3-64 文档 库 管理 -Word 发 本 工作 区 位 置 


G) 单 击 “创建 ”按钮 后 ，Word 即 可 开始 新 建文 档 工 作 区 ， 如 图 3-65 所 示 。 因 此 时 
需要 访问 WSS 站 点 ， 所 以 如 果 当 前 计算 机 还 没有 加 入 域 ， 则 会 显示 要 求 输入 用 户 名 和 密 
码 的 登录 文本 框 ， 如 果 已 经 加 入 域 并 以 域 用 户 身 份 登录 ， 则 不 会 出 现 登 录 文本 框 。 


Wicrosoft Office Word 


图 3-65 文档 库 管理 -Word 发 布 -正在 新 建 工作 区 


文档 发 布 成 功 后 ， 即 可 在 “文档 管理 ” 侧 边栏 中 显示 当前 文档 状态 、 文 档 工作 区 的 成 
员 、 任务 及 所 包含 的 文档 和 链接 等 信息 ， 如 图 3-66 所 示 。 单 击 侧 边栏 上 部 的 链接 “在 浏览 
器 中 打开 网 站 ”， 即 可 在 浏览 器 中 以 相应 用 户 身 份 登录 WSS 站 点 ， 并 打开 刚刚 创建 的 文 
档 工作 区 ， 如 图 3-67 所 示 。 
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Microsoft Office Word 2007 的 10 大 优势- 
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3-67 文档 库 管理 -Word 发 布 -浏览 器 查看 


同样 ，Excel 和 PowerPoint 也 都 内 置 了 文档 发 布 功能 ， 在 编辑 完成 电子 表格 或 演示 文 
稿 以 后 ， 都 可 以 通过 文档 发 布 功能 直接 将 文档 上 传 到 WSS 网 站 并 创建 文档 工作 区 。 因 操 
作 步 骤 与 Word 雷同 ， 在 此 不 再 袭 述 。 


3.3 ”使 用 Wss 模板 


3.3.1 WSS 模板 功能 介绍 


WSS 模板 是 围绕 特定 业务 需求 设计 的 预 建 定义 。 用 户 可 以 按 原样 使 用 这 些 模板 来 创建 
属于 自己 的 SharePoint 网 站 ， 然 后 再 根据 需要 自 定义 该 网 站 。WSS 提供 的 默认 网 站 模板 主 
要 有 以 下 几 种 。 


工作 组 网 站 : 用 来 快速 组 织 、 编写 和 共享 信息 。 它 提供 了 文档 库 和 列表 来 管理 通知 、 

日 志 项 、 任 务 和 讨论 板 。 
空白 网 站 : 个 人 按照 自己 的 需求 定制 的 空白 网 站 。 
文档 工作 区 : 团队 用 来 协同 完成 一 个 文档 的 网 站 。 它 提供 一 个 用 来 存储 主要 文档 和 
支持 文件 的 文档 库 、 一 个 分 配 任务 的 任务 列表 和 一 个 相关 文档 资源 的 链接 列表 。 
Wiki 网 站 : 团队 用 来 头脑 风暴 和 共享 观点 的 网 站 。 它 提供 了 可 以 快速 编辑 记录 信 
息 ， 并 且 能 通过 关键 词 连接 的 页 面 。 
博客 : 个 人 或 者 团队 用 来 发 表 观 点 、 观 察 报告 和 专业 观点 的 网 站 ， 而 浏览 者 可 以 在 
上 面 批注 。 
基本 会 议 工作 区 : 用 来 计划 、 组织 会 议 , 并 在 会 后 总 结 的 网 站 。 它 提供 了 管理 议程 、 
sa -系列 的 列表 。 

会 议 工作 区 : 个 人 用 来 按照 需求 定制 的 空白 会 议 网 站 。 

se 议 工 作 区 : 用 来 跟踪 会 议 状态 或 达成 决议 的 网 站 。 它 提供 了 创建 任务 、 存 储 
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文档 和 记录 决议 等 列表 。 

e 社会 活动 工作 区 : 用 来 规划 社会 活动 的 网 站 。 它 提供 跟踪 议题 、 准 备 指导 和 存储 活 
动 图 片 的 列表 。 

e 多 页 会 议 工 作 区 : 用 于 规划 、 组 织 和 获取 会 议 结果 的 网 站 。 它 提供 了 可 以 管理 议程 
和 会 议 议题 的 列表 ， 以 及 两 个 可 以 根据 需求 定制 的 空白 页 面 。 

这 些 模板 非常 适合 公司 环境 中 的 信息 工作 者 。 多 数 人 会 使 用 这 些 模板 来 创建 网 站 ， 同 
时 这 个 平台 也 可 以 用 来 定制 开发 各 种 各 样 的 应 用 程序 。 这 些 模板 可 以 帮助 用 户 灵活 地 完成 
文档 、 会 议 、 事 件 、 项 目 、 讨 论 和 观点 上 的 协作 。 对 于 需要 对 文档 保留 版 本 、 管 理 讨论 ， 
以 及 跟踪 任务 、 问 题 和 议题 的 部 门 或 者 项 目 成 员 来 说 ， 这 些 模板 也 是 非常 有 用 的 。 通 过 采 
用 这 些 新 技术 ， 用 户 可 以 在 安全 和 可 控 的 环境 中 ， 使 文档 内 容 保持 最 新 。 

除了 提供 默认 模板 以 外 ，WSS 还 允许 用 户 将 自己 的 网 站 快速 保存 为 模板 。 当 一 个 
SharePoint 用 户 完成 对 网 站 的 修改 和 构建 之 后 ， 网 站 及 其 内 容 就 可 以 被 保存 为 一 个 模板 。 
拥有 权限 的 其 他 人 可 以 根据 此 模板 创建 一 个 新 的 内 容 相同 、 布 局 相同 、 导 航 相同 的 网 站 ， 
这 个 功能 适合 那些 想 要 创建 多 个 外 观 相同 网 站 的 组 织 。 这 样 做 可 以 比 手工 定制 网 站 节约 几 
个 小 时 乃至 几 天 的 时 间 。 

将 SharePoint 网 站 另存 为 模板 时 ， 保 存 的 是 该 网 站 的 总 体 框架 ， 包 括 该 网 站 的 列表 和 
库 、 视 图 、 窗 体 以 及 工作 流 。 除 了 这 些 组 件 外 ， 如 果 用 户 在 保存 模板 文件 时 选择 “包含 网 
站 内 容 ”， 则 在 模板 中 还 会 包括 该 网 站 的 具体 内 容 ， 例 如 存储 在 文档 库 中 的 文档 。 

要 将 当前 网 站 保存 为 模板 ， 只 需 以 管理 员 身 份 登录 WSS 网 站 ， 单 击 主页 上 的 “网 站 
操作 ”按钮 ， 在 弹出 的 下 拉 菜 单 中 选择 “网 站 设置 ”， 进 入 “网 站 设置 ”页 面 ， 如 图 3-68 
所 示 ， 单 击 “ 外 观 ” 类 别 下 的 “将 网 站 另存 为 模板 ”链接 ， 在 “网 站 另存 为 模板 ”页 面 中 
输入 要 保存 的 模板 文件 的 文件 名 、 模 板 名 称 和 说 明 信 息 ， 如 图 3-69 所 示 ， 再 选 定 是 否 包含 
网 站 内 容 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 即 可 创建 新 的 模板 ， 如 图 3-70 所 示 。 新 的 模板 会 自动 
保存 到 网 站 模板 库 中 ， 如 图 3-71 所 示 ， 以 后 用 户 就 可 以 基于 该 模板 创建 网 站 了 。 


图 3-68 WSS 模板 -网 站 设置 
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图 3-71 wss 模板 - 网 站 模板 库 


3.3.2 ”将 模板 上 载 到 WSS 网 站 


要 将 保存 好 的 模板 文件 应 用 到 某 个 WSS 网 站 ， 必 须 先 将 其 上 载 到 WSS 网 站 中 。 操 作 
步骤 如 下 : 
(1) 以 管理 员 身份 登录 WSS 网 站 ， 单 击 主页 上 的 “网 站 操作 ”按钮 ， 在 弹出 的 下 拉 荣 


“108 Windows Server 2008 系统 管理 


单 中 选择 “网 站 设置 ”， 进 入 “网 站 设置 ”页 面 。 
(2) 单 击 “ 库 ”类 别 下 的 “网 站 模板 ”链接 ， 在 “网 站 模板 库 ” 页 面 中 的 单 击 “ 上 载 ” 
按钮 ， 选 择 “上载 单个 文档 ”命令 ， 如 图 3-72 所 示 。 


图 3-72 WSS 模板 -网 站 模板 库 -准备 上 载 文档 


G) 在 接 下 来 的 “上 载 模板 ”页 面 中 输入 模板 文件 的 路 径 和 名 称 ， 如 图 3-73 所 示 ， 单 
击 “ 确 定 ” 按 钮 ， 即 可 完成 模板 上 载 的 过 程 。 


i 


下 载 和 全 本 


图 3-73 ”WSS 模板 - 网 站 模板 库 - 上 载 模板 文档 


模板 上 载 到 WSS 网 站 以 后 就 会 出 现在 网 站 模板 库 中 。 当 管理 员 需 要 使 用 该 模板 创建 
新 的 网 站 时 ， 只 需 在 “新 建 SharePoint 网 站 ”页 面 中 输入 新 建 网 站 的 标题 和 说 明 信 息 ， 并 
在 “选择 模板 ”位 置 切换 到 “ 自 定 义 ” 选 项 卡 ， 然 后 在 模板 列表 中 选择 上 载 过 的 自 定义 模 
板 就 可 以 了 ， 如 图 3-74 所 示 。 


3-74 ”WSS 模板 -使 用 模板 新 建 网 站 
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3.4 本 章 小 结 


WSS 为 创建 SharePoint 站 点 提供 了 丰富 的 列表 样式 ， 灵 活 的 文件 存储 ， 并 允许 用 户 对 
列表 字段 进行 扩展 ， 而 且 权限 分 配 也 很 方便 ， 使 得 用 户 能 在 文档 、 任 务 、 联 系 人 、 事 件 以 
及 其 他 信息 上 开展 协作 。 这 些 站 点 将 文件 存储 带 入 到 了 一 个 新 的 水 平 ， 为 团队 协作 提供 了 

-个 活动 空间 ， 它 使 基于 文档 、 任 务 和 活动 的 协作 成 为 可 能 ， 并 且 使 得 共享 联系 人 和 其 他 
信息 的 过 程 变 得 更 为 轻松 。WSS 允许 团队 和 站 点 的 管理 人 员 更 容易 地 管理 站 点 内 容 和 用 户 
活动 ， 使 用 可 靠 的 管理 控件 来 管理 存储 和 Web 基础 架构 ,实现 和 管理 高 性 能 协作 环境 ， 从 
而 提高 业务 流程 的 效率 。 

WSS 不 仅 能 够 创建 用 于 信息 共享 和 文档 协作 的 SharePoint 站 点 ,还 可 以 与 日 常 工具 (如 
Microsoft Office 系列 或 第 三 方 平台 ) 紧 密集 成 并 协同 工作 ， 通 过 采用 基于 Web 的 界面 方便 
用 户 使 用 ， 还 可 以 消除 宛 余 解决 方案 的 成 本 支出 ， 达 到 快速 部 署 、 简 化 管理 ， 改 善 工作 流 
程 ， 降 低 成 本 的 目的 。 

WSS 所 提供 的 协作 功能 能 够 使 工作 组 方便 地 访问 所 需 的 人 员 、 文 档 和 信息 ， 以 便 用 户 
在 工作 中 做 出 更 合理 的 决策 ， 从 而 帮助 工作 组 保持 沟通 顺畅 并 提高 工作 效率 ， 门 户 功能 对 
于 设计 、 部署 和 管理 企业 Intranet 门户 、 公司 Intemet 展示 网 站 和 部 门 门户 网 站 都 非常 有 用 ; 
搜索 功能 可 以 使 用 户 不 仅 能 够 对 WSS 中 的 文档 、 页 面 、 和 数据 进行 搜索 ， 还 能 搜索 到 企 
业 中 其 他 站 点 、 文 件 共享 目录 ， 并 且 WSS 的 搜索 是 支持 权限 过 滤 的 ， 企 业内 容 管 理 功 能 
提供 了 文档 管理 、 记 录 管 理 、 表 单 管理 、web 内 容 管 理 等 服务 ; 表单 驱动 功能 将 基于 XML 
的 简单 易 用 的 智能 电子 表单 与 现 有 的 系统 无 颖 集成 ， 简 化 了 表单 驱动 的 业务 过 程 。 


3.5 思考 与 练习 


【思考 题 】 
1. 默认 情况 下 ，WSS 会 生成 哪 3 个 SharePoint 用 户 组 ? 它们 各 有 什么 权限 ? 
2. 对 WSS 网 站 的 外 观 管理 主要 包括 哪 几 个 方面 ? 
3. WSS 的 文档 库 具 备 哪些 功能 ? 
4. 如 何 使 用 现 有 的 WSS 模板 ? 如 何 创建 新 的 WSS 模板 ? 


【练习 题 】 
初始 条 件 :一 台 尚 未 安装 Windows SharePoint Services 的 Windows Server 2008 服务 器 、 
服务 器 管理 员 帐 户 。 
操作 目标 : 在 服务 器 上 安装 并 启用 WSS 服务 。 
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【本 章 导 读 】 

网 络 中 使 用 他 地 址 来 标定 一 台 服 务 器 的 身份 , 因此 用 户 在 共享 网 络 服务 的 同时 , 需要 
知道 服务 器 的 他 地址 ， 这 就 增加 了 网 络 访问 的 难度 。 为 此 ,网络 中 又 出 现 了 一 种 新 的 标定 
服务 器 的 方法 : 域名 系统 。DNS(Domain Name System， 域 名 系统 ) 服 务 ， 就 用 来 记录 卫 地 
址 和 域名 之 间 的 对 应 关系 ， 以 方便 用 户 查 询 ， 从 而 降低 了 使 用 网 络 服务 的 难度 。Windows 
Server 2008 中 提供 了 强大 易 用 的 DNS 服务 组 件 ， 可 以 方便 地 提供 DNS 服务 器 。 同 时 
Windows 网 络 中 的 DNS 服务 配合 微软 特有 的 活动 目录 服务 ， 提 供 了 更 加 强大 和 灵活 的 网 
络 服务 ， 极 大 地 扩展 了 企业 网 络 的 功能 ， 提 高 了 企业 网 络 的 性 能 。 


4.1 DNS 服务 概述 


互联 网 中 的 计算 机 ,无 论 是 客户 端 还 是 服务 器 , 都 是 用 了 P 地 址 作为 唯一 的 网 络 标识 的 。 
众所周知 ， 卫 地 址 就 是 一 个 32 位 的 二 进 制 编码 ， 也 可 以 写成 点 分 十 进 制 形式 ， 但 无 论 是 
二 进 制 还 是 十 进 制 的 写法 ， 都 非常 难 记忆 ， 为 此 人 们 还 用 域名 的 形式 来 标明 一 个 网 站 的 服 
务 器 。 但 是 ,域名 是 不 能 够 在 网 络 中 使 用 的 ， 这 就 需要 有 一 种 能 够 帮助 用 户 将 域名 和 了 王 地 
址 进行 相互 转换 的 服务 ， 这 就 是 域名 解析 服务 ， 简 称 DNS 。 


4.1.1 DNS 服务 简介 


在 配置 计算 机 的 下 地 址 时 ， 需 要 输入 计算 机 的 卫 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 
地 址 。 即 使 是 家 庭 中 的 拨号 、ADSL 等 连接 手段 ， 不 需要 手工 配置 这 些 参 数 ， 计 算 机 在 联 
入 Internet 时 也 会 从 ISP 的 服务 器 上 自动 获取 这 些 参 数 。 下 面 以 用 户 使 用 浏览 器 浏览 网 页 
为 例 来 说 明 DNS 的 工作 流程 。 

某 用 户 的 他 地 址 是 218.28.137.89, DNS 为 202.102.224.68, 备用 DNS 为 202.102.227.68， 
现在 该 用 户 打开 浏览 器 , 在 地 址 栏 中 输入 微软 公司 的 网 址 www.microsoft.com, 并 按 下 回 车 
键 。 此 时 浏览 器 开始 尝试 连接 该 网 址 。 众 所 周知 ， 网 址 是 无 法 在 网 络 上 作为 主机 标志 的 ， 
必须 首先 把 网 址 转化 为 对 应 的 他 地址 才 可 以 。 浏览 器 会 首先 查询 本 地 缓存 , 如 果 本 地 缓存 
中 有 对 应 的 信息 ,， 则 按照 查找 到 的 他 地 址 尝试 连接 网 站 服务 器 ,如 果 在 本 地 缓存 中 没有 找 
到 该 网 站 对 应 的 下 地址 , 则 根据 网 络 配置 信息 中 的 DNS 地 址 , 浏览 器 向 DNS 服务 器 发 出 
查询 申请 。DNS 收 到 查询 申请 后 , 在 自己 的 数据 库 中 查找 www.microsoft.com 对 应 的 中 地 
址 ， 如 果 能 够 找到 ， 则 将 查询 结果 发 给 浏览 器 ， 如 果 查 询 不 到 ， 则 向 其 他 DNS 服务 器 发 
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出 查询 申请 ， 直 至 查询 成 功 或 确认 其 他 DNS 服务 器 也 没有 记录 相应 信息 为 止 。 浏 览 器 向 
DNS 服务 器 发 出 查询 申请 后 ， 如 果 一 段 时 间 后 收 不 到 DNS 服务 器 发 来 的 信息 ， 则 向 备用 
DNS 服务 器 发 出 相同 的 请 求 。 如 果 浏 览 器 可 以 从 DNS 服务 器 或 者 备用 DNS 服务 器 获取 该 
网 站 对 应 的 了 P 地 址 ， 则 尝试 连接 该 他 地 址 对 应 的 服务 器 ， 如 果 以 上 方法 都 不 能 让 浏览 器 
获取 到 对 应 的 他 地址 ， 则 给 用 户 提示 ， 表 示 无 法 解析 地 址 。 

DNS 工作 流程 图 如 图 4-1 所 示 。 


浏览 器 访问 网 站 


vy 


访问 DNS 服务 器 


查询 上 级 或 备用 
DNS 服务 器 
查询 
成 功 


根据 卫 访问 站 点 


图 4-1 DNS 工作 流程 


4.1.2 查询 模式 


从 查询 内 容 上 看 ，DNS 服务 器 有 以 下 两 种 查询 模式 。 
1. 正 向 查询 


正 向 查询 是 指 客户 向 DNS 服务 器 发 送 一 个 域名 ，DNS 服务 器 经 过 查找 ， 返 回 该 域名 
对 应 的 下 地址 。 


2. 逆向 查询 


逆向 查询 是 指 客户 向 DNS 服务 器 发 送 一 个 瑟 地 址 ，DNS 服务 器 经 过 查找 , 返回 该 他 
地 址 对 应 的 域名 。 

从 查询 方法 上 看 ，DNS 服务 器 也 有 以 下 两 种 查询 方法 。 

1. 递归 查询 

用 户 需要 查询 某 个 域名 对 应 的 他 地 址 ,但 是 当前 的 DNS 服务 器 没有 该 记录 , 此 时 DNS 
服务 器 会 奉 代 用 户 向 其 他 DNS 服务 器 发 出 查询 申请 。 递 归 查 询 常用 于 客户 向 DNS 服务 器 
申请 服务 。 
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2. 迭代 查询 

如 果菜 DNS 服务 器 接收 到 一 个 查询 请 求 ， 但 是 它 本 身 没有 相关 记录 ， 则 该 DNS 服务 
器 会 向 其 他 DNS 服务 器 提出 查询 申请 ， 如 果 其 他 DNS 服务 器 也 没有 相关 记录 ， 则 会 向 第 
一 台 DNS 服务 器 提供 另 一 个 DNS 服务 器 的 地 址 ， 以 便 DNS 服务 器 继续 查询 。 迭 代 查 询 
一 般 用 于 DNS 服务 器 之 间 的 查询 。 


4.2 DNS 服务 器 的 安装 


Windows Server 2008 在 默认 状态 下 没有 安装 DNS 服务 ， 需 要 管理 员 手 工 添加 。DNS 
服务 器 需要 固定 的 也 地 址 ， 因 此 作为 DNS 服务 器 的 计算 机 不 能 通过 自动 分 配 的 方式 获取 
卫 地 址 ， 必 须 手工 配置 。IP 地 址 设置 完毕 后 ， 按 照 以 下 步骤 安装 DNS 服务 器 。 

(1) 以 系统 管理 员 帐 户 Administrator 的 身份 登录 到 Windows Server 2008 中 ,选择 “ 开 
始 ” 菜 单一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 如 图 4-2 所 示 。 


=l9|x 
文件 中 ”所 作风 宣 看 WI 天助 00 
名 中 | 力 | 丰 | 回 
| 
| 
田 国 功能 
日 册 》 下 看 实 装 在 及 器 上 角色 的 运行 杖 品 ， 以 及 添加 哆 时 角色 和 功能 。 
田 
加 器 存 儿 一 
人 角色 荐 要 好 角色 莪 更 帮 翅 
全 角色 : 已 志 装 1 ( 共 17) 冯 添加 角色 
Th 服务 器 1S) 一 
人 ^ Weh 服务 器 CGIS) 加 Ye 闻 务 器 CIs) 帮助 
提供 可 靠 、 可 管理 并 且 可 扩展 的 Wb 应 月 程序 基础 结 均 。 
人 ^ 角色 杖 态 加 转 到 Yeb 服务 器 ms) 
系统 服务 :4 正在 运行 ，2 已 全 
事件 : 上 个 24 小 Bj 中 的 无 
全 角色 服务 : 已 安装 35 避 添加 用 色 服务 
国 
I i 


图 4-2 “服务 器 管理 器 ”界面 


(2) 在 服务 器 管理 器 界面 的 左 侧 选择 “角色 ”， 然 后 单 击 右 侧 窗口 中 的 “添加 角色 ”， 
打开 角色 添加 向 导 ， 进 入 “选择 服务 器 角色 ”界面 ， 并 单 击 “DNS 服务 器 ”选项 ， 如 图 
4-3 所 示 。 

G) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “DNS 服务 器 简介 ”界面 ， 如 图 4-4 所 示 。 
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图 4-3 “选择 服务 器 角色 ”界面 图 44 “DNS 服务 器 简介 ”界面 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “确认 安装 选择 ”界面 ， 如 图 4-5 所 示 。 
| 确认 安装 起 择 


图 4-5 “确认 安装 选择 ”界面 
(5) 单 击 “ 安 装 ”按钮 ， 开 始 安装 DNS 服务 器 ， 如 图 4-6 所 示 。 


图 4-6 安装 界面 
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(6) 等 待 几 分 钟 后 安装 完毕 ， 如 图 4-7 所 示 。 单 击 “关闭 ”按钮 退出 向 导 ，DNS 服务 
器 安装 完毕 。 


图 4-7 完成 安装 界面 


4.3 DNS 服务 器 的 配置 与 管理 


DNS 服务 器 安装 完毕 后 , 系统 不 会 自动 启动 配置 向 导 , 因此 需要 管理 员 手工 配置 DNS 
域 、 添 加 相应 的 正 、 反 查找 区 域 以 及 其 他 主机 记录 ， 将 域名 和 了 王 地 址 一 一 对 应 起 来 ， 从 而 
为 用 户 提供 域名 解析 服务 。 


4.3.1 添加 正 向 搜索 区 域 


为 了 使 DNS 服务 器 可 以 正常 解析 域名 ， 必 须 先 向 DNS 区 域 中 添加 正 向 查找 区 域 。 如 
果 有 需要 ，DNS 服务 器 允许 管理 员 添加 多 个 区 域 ， 以 便 解析 多 个 域名 。 

(1) 选择 “开始 ”菜单 一 “管理 工具 ”一 “DNS ”命令 ， 打 开 DNS 管理 器 ， 展 开 左 侧 
窗口 的 树 形 目录 ， 单 击 “ 正 向 查找 区 域 ”， 如 图 4-8 所 示 。 


=|Glx| 
文件 o。 操作 宣 看 WW 帮助 00 
和 中 | 为 | 下 | a| 回 可 | 引 目 入 


@ sus 


i TS 名 各 空间 分 成 区 域 。 每 个 区 域 存储 有 关 一 个 或 多 个 连续 和 Dits 域 


Es 
日 目 Staverot 
田 回 


旧 晤 后 向 区域 
田 国 条 件 转发 器 
要 洒 加 一 个 新 区 培 ， 请 在 “ 提 作 " 荣 单单 而“ 条 唱 络 ” 


图 4-8 “DNS 管理 器 ”界面 


(2) 右 击 “ 正 向 查找 区 域 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ”命令 ,打开 新 建 
区 域 向 导 ， 如 图 4-9 所 示 。 
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EEEEEG 本 
欢迎 使 用 新 建 区 域 向 导 
和 LS 地 助 入 JIE 服务 节 时 一个 新 区 域 。 
2 te pin ile 


苇 要 继续 ,请 单 击 “ 下 一 步 ” 


om] ww | 


图 4.9 “欢迎 使 用 新 建 区 域 向 导 ” 界 面 


“期 和 = 


G) 单 击 “ 下 一 步 ”按钮 ， 进 入 “区 域 类 型 ”界面 ， 如 图 4-10 所 示 。 本 界面 中 有 3 种 


类 型 可 供 选择 。 如 果 要 直接 在 当前 服务 器 上 创建 DNS 


区 域 ， 则 选择 “主要 


区 域 ”;， 如 果 


DNS 区 域 在 其 他 服务 器 上 创建 ， 而 当前 服务 器 是 作为 辅助 DNS 服务 器 存在 ， 则 选择 “ 辅 
助 区 域 ”; 如 果 创建 只 含有 名 称 服务 器 (NS)、 起 始 授 权 机 构 (SOA) 和 烙 连 主机 (A) 记 录 的 区 


域 的 副本 ， 则 选择 “存根 区 域 ”。 


域 类 型 
DR 服务 器 支持 不 同类 型 的 区 域 和 存 请 。 


选择 他 要 8 要 的 区 j#9 闪 型 : 
人 主要 区 域 吕 ) 

创 陵 一 个 可 以 直接 在 这 个 服务 器 上 更 新 的 区 域 导 本 
个 辅 有 区域) 


i 此 选 顺 于 助 主 野 务 器 平衡 


St ie 


0 


Es0 TE] a | 


Ee) 


4-10 “区 域 类 型 ”选择 界面 


(4) 本 示例 中 选择 “主要 区 域 ”， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “区 域名 称 ” 界 面 ， 在 

“区 域名 称 ” 文 本 框 中 输入 在 域名 服务 机 构 申请 的 正式 域名 ， 如 microsoftcom， 如 图 4-11 

所 示 。 区 域名 称 用 于 说 明 DNS 名 称 空间 的 部 分 ， 可 以 是 域名 或 者 子 域名 。 
要 


区 场 名称 
新 在 村 至 什么 1 


—m | 


图 4-11 “区 域名 称 ” 界 面 
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(5) 单 击 “下 一 步 ”按钮 ， 进 入 “区 域 文件 ”界面 ， 如 图 4-12 所 示 。 选 中 “创建 新 文 
件 ， 文 件 名 为 ” 单 选 按 钮 ， 在 服务 器 上 创建 一 个 新 的 区 域 文件 存储 相关 信息 ， 文 件 名 可 以 
自 定义 ， 但 是 尽量 使 用 默认 值 。 如 果 要 从 另 一 个 DNS 服务 器 复制 记录 文件 到 当前 服务 器 ， 
则 选中 “使 用 此 现存 文件 ” 单 选 按 钮 。 


ETI Es 
区 域 文件 
您 可 以 8 娃 一 个 新 区 域 文件 和 使 用 从 另 一 个 DIS 服务 器 复制 89 文件。 


ee 还 是 使 用 一 个 从 另 一 个 DR 服务 器 槛 制 B89 现 存 
个 新 文件 ， 文件 名 为 C5); 

Fierosort eon dns 
个 使 用 此 现存 文件 0 

| 闫 匡 = 二 各 


3 和 5 和 


《< 上- 步 中 取消 


图 4-12 “区 域 文件 ”界面 


(6) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “动态 更 新 ”界面 ， 选 择 动态 更 新 方式 ， 如 图 4-13 所 
示 。 各 选项 含义 如 下 。 

e 只 允许 安全 的 动态 更 新 (适合 Active Directory 使 用 ): 如 果 当 前 DNS 服务 器 用 于 活 
动 目录 的 作用 区 域 ， 才 能 使 用 该 选项 ; 

e 允许 非 安 全 和 安全 动态 更 新 : 该 选项 可 以 使 任何 客户 端 都 接受 资源 记录 的 动态 更 
新 ， 对 于 使 用 DHCP 功能 获取 网 络 地 址 的 客户 较为 方便 ， 但 是 由 于 也 可 以 接受 来 
自 非 信任 源 的 更 新 ， 所 以 安全 性 较 差 ; 

e 不 允许 动态 更 新 : 可 以 使 此 区 域 不 接受 资源 记录 的 动态 更 新 ， 安 全 性 较 高 ， 建 议 选 
择 该 选项 。 

[rs 寺 
se ES 区 域 恒 完 安全、 不 安全 或 非 动 坊 的 更 亲 ， 轧 


Et 同 Di 服 和 和 入 革 并 
请 迁 择 您 想 多 许 的 动态 更 新 类 到 


ee iis nlctrry 从 有 加) 
letive Diraetary 策 防区 城 才 有 睹 这 硕 。 


2 
图 4-13 “动态 更 新 ”界面 


(7) 这 里 选择 “不 允许 动态 更 新 ”， 单 击 “ 下 一 步 ”按钮 ， 进 入 “正在 完成 新 建 区 域 
导 ” 界 面 ， 如 图 4-14 所 示 。 如 果 还 需要 对 前 面 的 设置 做 修改 ， 可 单 击 “ 上 一 步 ”按钮 返 
并 修改 设置 。 


可 


回 
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EE | 
正在 完成 新 建 区 域 向 导 
让 浆 忆 成 过 成 了 新 建 区 博 问 导 。 您 证 了 如 下 设置 


要 关闭 此 向 导 并 创建 新 区 域 ， 请 单 击 “ 完 成 ”。 


so EE] | 


图 4-14 “正在 完成 新 建 区 域 向 导 ” 界 面 


(8) 如 果 不 需 要 更 改 设置 ， 单 击 “ 完 成 ”按钮 返回 DNS 管理 器 ， 此 时 新 建 的 区 域 已 经 
出 现在 DNS 管理 器 中 ， 如 图 4-15 所 示 。 


文件 中) 间作 W。 下 看) 屠 助 加 
和 路 | 广 加 | 其 日 G 避 | 目 本 | 言 目 己 


起 抬 摄 权 机 构 GDA) ， 
目 与 艾 文 件 赤 相 网 ) 名 各 服务 器 OF) swrver- -1 


国 
回国 捅 9 坦 近 区域 
日 国 条 件 转发 器 


图 4-15 “DNS 管理 器 ”窗口 


至 此 已 经 完成 了 一 个 区 域 的 添加 ， 利 用 以 上 方法 ， 可 以 添加 多 个 DNS 区 域 ， 分 别 指 
定 不 同 的 域名 称 ， 从 而 可 以 解析 多 个 名 。 


4.3.2 添加 DNS 域 


DNS 区 域 是 DNS 服务 的 基本 管理 控制 单元 ， 一 台 DNS 服务 器 上 可 以 创建 多 个 区 域 。 
如 果 网 络 规模 比较 大 ， 用 户 数量 比较 多 时 ， 就 可 以 在 区 域内 划分 多 个 子 区 域 以 方便 管理 。 
例如 在 企业 中 ， 可 以 为 各 个 部 分 划分 自己 单独 的 子 域 。 

(D 在 DNS 管理 器 中 选择 要 划分 子 域 的 区 域 ， 本 示例 中 为 microsoft.com, 在 该 区 域 上 
右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 域 ”命令 ,打开 “新 建 DNS 域 ”对 话 框 ， 输 入 新 
建 子 域 的 名 称 ， 如 news， 如 图 4-16 所 示 。 

到 


请 键入 新 的 DRS 域名 GT) 
rr] 


Cw | 


图 4-16 “新 建 DNS 域 ” 对 话 框 
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(2) 单 击 “确定 ”按钮 ， 完 成 新 子 域 的 创建 ， 此 时 已 经 可 以 在 DNS 管理 器 中 看 到 新 子 
域 了 ， 如 图 4-17 所 示 。 


ET3SEEE3 要 
文件 中) 操作 CA) 查看 吉 助 00 
各 中 | 为 | 生日 G3 日 本 | 站 上 自 忆 


此 视图 中 没有 可 显示 的 项 目 。 


昌国 后 查找 区 域 
昌 辐 条 件 转 上 各 
4-17 “DNS 管理 器 ”窗口 


重复 以 上 操作 ， 可 以 为 microsoft.com 区 域 添加 其 他 子 域 。 但 要 注意 ， 如 果 某 个 域 被 删 
除 ， 那 么 它 和 它 下 属 的 所 有 子 域 也 将 同时 被 删除 。 


4.3.3 添加 DNS 记录 


添加 好 域 和 子 域 后 ，DNS 服务 器 还 不 能 真正 的 提供 域名 解析 服务 ， 因 为 此 时 还 没有 真 
正 建立 域名 和 人 P 地 址 的 对 应 关系 记录 。 因 此 还 必须 添加 域 中 某 服务 器 的 名 称 和 人 P 地 址 的 
对 应 关系 记录 , 即 主机 记录 。 用户 在 访问 网 站 时 输入 浏览 器 的 域名 , 如 www.microsoftcom， 
就 是 在 访问 域 microsoft.com 中 的 名 为 www 的 主机 。 

(1) 打开 DNS 管理 器 ,在 要 创建 主机 记录 的 区 域名 称 上 右 击 ,在 弹出 的 快捷 菜单 中 选 
择 “ 新 建 主机 ”命令 ,打开 “新 建 主机 ”对 话 框 ， 在 名 称 文本 框 中 输入 主机 名 称 ，“ 完 全 
合格 的 域名 ”文本 框 中 将 显示 完整 的 名 称 , 在 他 地 址 文本 框 中 输入 该 主机 对 应 的 他 地址， 
如 图 4-18 所 示 。 


Fm Microsoft. com. 
地 址 中 ): 


Por. .ls 254 
厂 和 娄 相 关 的 指针 TE) 记录 CC) 


图 4-18 “新 建 主机 ”对 话 框 


(2) 单 击 “添加 主机 ”按钮 ， 就 可 以 完成 主机 www.microsoft.com 及 其 全 地 址 的 添加 。 
此 时 用 户 如 果 访 问 www.microsoftcom， 当 前 DNS 服务 器 就 可 以 为 用 户 提供 地 址 解析 服务 
了 。 完 成 添加 后 ， 系 统 弹出 创建 成 功 提示 对 话 框 ， 如 图 4-19 所 示 。 
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图 4-19 创建 成 功 提示 对 话 框 


G) 单 击 “ 确 定 ” 按 钮 ， 弹 出 “新 建 主机 ”对 话 框 ， 如 果 需 要 添加 新 的 主机 记录 ， 重 
复 上 面 的 步骤 ， 如 果 不 需 要 添加 新 主机 记录 ， 单 击 “ 完 成 ”按钮 ， 返 回 DNS 管理 器 ， 此 
时 可 以 在 DNS 管理 器 中 看 到 新 添加 的 主机 记录 ， 如 图 4-20 所 示 。 


文件 中 操作 内 查看 帮助 00 
和 路 | 力 四 | 其 已 学 | 加 加 | 让 目 己 


[a [EY 
srxmrot 
日 加 全 局 日志 起 始 措 可 机 构 Go TI，aerrerol， be: 
日 刁 下 向 查 专区 城 Er server-0L 
ET 
后 妆 交 区 二 
四 本 条件 续 必 和 


图 4-20 “DNS 管理 器 ”窗口 


4.3.4 添加 反 向 搜索 区 域 


反 向 搜索 和 正 向 搜索 正好 相反 。 正 向 搜索 是 指 用 户 申 请 解析 域名 为 他 地 址 ， 反 向 搜索 
则 可 以 帮助 用 户 将 人 P 地 址 解析 为 对 应 的 域名 。 网 上 大 多 数 情况 下 进行 的 服务 都 是 正 向 搜 
索 ， 但 是 反 向 搜索 也 是 必 不 可 少 的 一 项 服务 。 

(1) 打开 DNS 管理 器 ,， 右 击 “ 反 向 查找 区 域 ”， 在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ” 
命令 ， 打 开 “ 新 建 区 域 向 导 ” 对 话 框 ， 如 图 4-21 所 示 。 


EI EE EE:| 


欢迎 使 用 新 建 区 域 向 导 
对 此 疝 导 大 助人 为 Di 服务 器 闻 汗 一 个 新 区 姑 。 
三 名 称 转换 成 相关 数据 ， 例 如 TP 地 址 或 网 


车 要 继续 ， 请 单 击 “ 下 一 步 ”。 


un | 
图 4-21 “新 建 区 域 向 导 ” 对 话 框 的 欢迎 界面 


(2) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “区 域 类 型 ”选择 界面 ， 每 一 项 具体 含义 和 添加 正 向 
搜索 时 相同 。 本 示例 选择 “主要 区 域 ”， 如 图 4-22 所 示 。 
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HE 


区 城关 型 EE 
了 服务 支持 不 局 芭 的 区 河和 存储 。 


渤 择 您 到 创建 的 区 js 潜 型 : 
主要 区 域 四 ) 
圭一 个 可 以 记 接 在 这 个 服务 器 上 更 新 的 EE 才 副 本。 


转世 i 
上 区; 乌江 。 此 机动 主 服务 器 
LT 
请 E 域 加 


ee 


i rr HE OF os BS RES 


a | 
图 4.22 “区 域 类 型 ”选择 界面 


(3) 单 击 “ 下 一 步 ”按钮 ， 进 入 “ 反 向 查找 区 域名 称 ” 界 面 ， 选 择 亿 版 本 ， 由 于 目前 
网 络 使 用 的 是 IPv4， 本 示例 选择 “IPv4 反 向 查找 区 域 ”， 如 图 4-23 所 示 。 


Ed| 
反 向 查找 区 域名 称 加 
后 查找 区 域 和 I?P 地 址 转换 为 DIS 名 称 * 


选择 是 否 要 为 IPv4 地 址 或 IFw6 地 址 创建 反 向 查找 区 域 。 


他 Pm 反 向 王 找 区 域 (4) 
个 Pw6 反 向 章 找 区 域 ) 


《上 - 步 oj) [= 步 D)] 了 消 


图 4-23 “地 址 类 型 ”选择 界面 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “ 反 向 查找 区 域名 称 ” 界 面 ， 标 识 反 向 查找 区 域 ， 可 
以 使 用 网 络 ID 和 方向 查找 区 域名 称 两 种 方式 。 在 “网 络 ID ”文本 框 中 输入 “207.46.19”， 
“ 反 向 查找 区 域名 称 ”文本 框 会 自动 生成 19.46.207.in-addr.arpa 这 样 一 个 名 称 ， 如 图 4-24 
所 示 。 
Tm > 


瑟 


反 向 查找 区 域名 棕 
把 找 区 二 将 ?地址 革 疙 TIG 名 聊 > 


罗 E11 ji 六 分 ， 用 下 天 中 是 后 9 输入 


ED 
图 4-24 “网 络 ID 或 区 域名 称 ” 界 面 


(5) 单 击 “ 下 一 步 ”按钮 ， 进 入 “区 域 文件 ”界面 ， 采 用 默认 的 名 称 命名 区 域 文件 ， 
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如 图 4-25 所 示 。 
FE 寺 
区 域 文件 请 
和 可 8 了 一 个 新 于 文件 和 奖 从 另 一 个 DR 服务 器 页 和 文 牢 - 


区 域 文件 ， 还 时 使 用 一 个 从 另 一 个 0KS 服务 器 讽 和 现存 


个 他 如 新 立 件 ， 文件 名 为 人 
mi 
个 借用 此 观 存 六 件 0D: 


ms | 
图 4-25 “区 域 文件 ”界面 


(6) 单 击 “ 下 一 步 ”按钮 ， 进 入 “动态 更 新 ”对 话 框 ， 用 来 选择 是 否 要 指定 这 个 区 域 
接受 安全 、 不 安全 或 非 动 态 的 更 新 。 为 了 维护 DNS 服务 器 的 安全 性 ， 推 荐 选择 “不 允许 
动态 更 新 ”， 如 图 4-26 所 示 。 

可 


动态 更 新 
就 可 以 指定 这 个 DIS 区 域 接受 去 主 、 不 支 全 或 非 芭 访 8 更 新 * 


Et 4 ot 月 nm 服用 并 更 
ni 帮主 的 加 下 新星 主 zetiv irectory 被 用 ) 5) 

elive Direetery 入 所 i 忆 二 才 比 疯 。 
人 基 放 下 安全 和 安全 让 志 更 新 从) 

户 接 要 过 攻 记 虹 的 动机 更新 。 

是 因 太 以近 示 自任 基 的 更 新， 此 过 贡 是 一个 和 大 的 全 遇 点 
不 公法 动 过 更新) 

此 区 十 可 光 和 记录 69 更 新 、 您 少 尖 手动 更 新 这 可 记 洒 。 


wh | 
图 4-26 “动态 更 新 ”界面 
(7) 单 击 “ 下 一 步 ”按钮 ， 进 入 “正在 完成 新 建 区 域 向 导 ” 界 面 ， 如 图 4-27 所 示 。 


新 建 区 域 向 导 Es 


正在 完成 新 建 区 域 向 导 


请 京 已 这 成 了 新 建 区 民 向 导 。 委 指定 了 业 下 设置 


和 19 45. 207 in-addr. erpa 
型 :标准 主要 区 域 
便衣 


到 
i 


要 关 洲 册 向 导 并 创建 新 区 域 ， 请 单 击 “ 完 成 ”。 


an | 


图 4-27 “正在 完成 新 建 区 域 向 导 ” 界 面 


(8) 单 击 “ 完 成 ”按钮 ， 关 闭 对 话 框 ， 返 回 DNS 管理 器 ， 此 时 DNS 管理 器 中 出 现 一 
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个 名 为 “19.46.207.in-addr.arpa” 反 向 查找 区 域 ， 如 图 4-28 所 示 。 如 果 要 添加 其 他 反 向 查找 
区 域 ， 重 复 上 述 步骤 即 可 。 


文件 史 。 操作 (0 百 丰 00。 潮 荔 On 


图 4-28 “DNS 管理 器 ”窗口 


(9) 创建 完 反 向 查找 区 域 后 ， 还 需要 添加 反 向 查找 记录 。 在 DNS 管理 器 中 右 击 刚 创建 
好 的 反 向 查找 区 域 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 指针 ”命令 ， 打 开 “ 新 建 资源 记录 ” 
对 话 框 ， 在 “主机 IP 地 址 ”文本 框 中 输入 207.46.19.86，“ 主 机 名 ”文本 框 中 输入 
www.microsoft. com， 或 者 单 击 “ 浏 览 ” 按 钮 选择 已 有 的 记录 ， 如 图 4-29 所 示 。 


加 
指针 GT) | 
主机 昔 地 址 中 ); 
Frei | 


Gun : 

Pe 1 4 207 Iv wpe 

主机 名 00; 

meieoeseem 


4-29 “新 建 资源 记录 ”对 话 框 


(10) 单 击 “ 确 定 ” 按 钮 完成 添加 操作 , DNS 管理 器 中 会 出 现 刚 添 加 好 的 反 向 查找 记录 ， 
如 图 4-30 所 示 。 重 复 上 述 步骤 可 以 添加 更 多 的 反 向 查找 记录 。 


lalzl 
文件 中， 操作 内 本 看 帮助 0 
和 号 | 为 加 | 其 回 G 芭 | 加 而 | 可 和 目 己 


E37 
目 与 文件 夫 相 局) 起 始 摄 权 机 构 SON 
目 与 文件 夫 相 同 ) 名 称 服务 器 0ES) 
目 zor «6.19.25¢ 指针 TB 


4-30 “DNS 管理 器 ”窗口 
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4.3.5 ”设置 转发 器 


任何 DNS 服务 器 都 不 可 能 把 所 有 的 域名 都 记录 下 来 ， 尤 其 是 本 地 网 络 中 的 DNS 服务 
器 ， 一 般 仅 作 本 地 服务 器 的 地 址 解析 或 者 配置 活动 目录 使 用 ， 没 有 Intemet 中 的 网 站 记录 。 
如 果 本 地 网 络 需要 访问 Intemet， 比 较 简单 的 方法 是 在 DNS 服务 器 中 设置 一 个 转发 器 ， 如 
果 DNS 服务 器 遇 上 无 法 解析 的 域名 ， 就 将 查询 请 求 转 


上 FO 


发 到 其 他 DNS 服务 器 上 进行 查询 ， 从 而 为 用 户 提 供 正 30 %es | | | Wa | B45| sm | 


确 的 解析 服务 。 

(1) 打开 DNS 管理 器 ， 右 击 服务 器 名 ， 在 弹出 的 快 
捷 菜 单 中 选择 “属性 ”命令 ， 打 开 服 务 器 属性 对 话 框 ， 
切换 到 “转发 器 ”选项 卡 ， 如 图 4-31 所 示 。 

(2) 单 击 “ 编 辑 ” 按 钮 ， 打 开 “ 编 辑 转发 器 ”对 话 
框 ， 在 “< 单 击 此 处 添加 人 P 地 址 或 DNS 名 称 >” 文 本 = 
框 中 输入 转发 器 的 他 地 址 或 DNS 服务 器 的 域名 ， 按 下 | 
回 车 键 ， 系 统 会 自动 添加 该 转发 器 并 进行 验证 ， 同 时 还 图 4-31 “转发 器 ”选项 卡 
可 以 输入 其 他 转发 器 他 地址， 如 图 4-32 所 示 。 


| 
9 IT 地 寻 5) 


避 


到 
Be i a4 ER 下 人 


图 4-32 “编辑 转发 器 ”对 话 框 
(3) 如 果 输 入 的 转发 器 地 址 可 以 通过 验证 ， 单 击 “ 确 定 ” 按 钮 就 可 以 将 输入 的 转发 器 


地 址 加 入 当前 服务 器 的 转发 器 列表 中 ， 如 图 4-33 所 示 。 


Ee 
Wo WS | | Wal mas) Fmt | 


图 4-33 “转发 器 ”选项 卡 
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(4) 单 击 “ 确 定 ” 按 钮 ，DNS 转发 器 设置 成 功 ， 此 时 客户 端 就 可 以 利用 转发 器 解析 当 
前 DNS 服务 器 中 没有 记录 的 域名 了 。 


4.4 安装 辅助 DNS 服务 器 


在 一 些 大 型 网 络 中 ， 为 了 避免 由 于 DNS 服务 器 故障 导致 网 络 不 能 正常 使 用 ， 一 般 会 
安装 两 台 DNS 服务 器 ， 一 台 作 为 主 DNS 服务 器 ， 一 台 作 为 辅助 DNS 服务 器 。 当 主 DNS 
服务 器 正常 工作 时 ,辅助 DNS 服务 器 只 起 到 备份 的 作用 , 自动 从 主 DNS 服务 器 上 获取 DNS 
数据 , 如 果 主 DNS 服务 器 发 生 故 障 , 辅助 DNS 服务 器 立即 替代 主 DNS 服务 器 承担 起 DNS 
解析 服务 。 


4.4.1 配置 主 DNS 服务 器 


在 配置 辅助 DNS 服务 器 之 前 ， 应 当先 
在 主 DNS 服务 器 上 添加 允许 传送 的 辅助 


DNS 服务 器 地 址 ， 并 设置 “通知 ”选项 ， 
以 便 主 DNS 服务 器 能 够 辅助 DNS 服务 器 。 
(1) 以 管理 员 帐 户 登录 到 主 DNS 服务 
器 ,打开 DNS 管理 器 ， 在 要 设置 辅助 DNS 
服务 器 的 区 域 上 右 击 , 在 弹出 的 快捷 菜单 中 


选择 “属性 ”命令 ， 如 图 4-34 所 示 。 re 
(2) 打开 区 域 属性 对 话 框 ， 切 换 到 “区 mses 
域 传送 ”选项 卡 ， 选 择 “ 人 允许 区 域 传送 ”， 国 434 “NS 稼 守 千 " 有 有 日 


同时 选择 “只 允许 到 下 列 服务 器 ”， 如 图 4-35 所 示 。 


编 嘲 吕 ) 
入 收 区 域 更新 前 知 ， 请 单 击 ” ”通知 0 


取消 应 用 失 ) 孝 助 
图 435 “区 域 传送 ”选项 卡 
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(3) 单 击 “ 编 辑 ” 按 钮 打开“ 人 允许 区 域 传送 ”对 话 框 ， 在 “< 单 击 此 处 添加 IP 地 址 
或 DNS 名 称 >” 文 本 框 中 输入 辅助 DNS 服务 器 的 了 P 地 址 或 计算 机 名 , 按 下 回 车 键 开 始 测 
试 辅助 DNS 服务 器 ， 如 图 4-36 所 示 。 


EE 
Ms 区 二 2) 

[arr 

韩 山 县 孝 到 的 IF 地 址 G5): 

ET 生生 TE I wsm | 
Blo021 Ei 本 角 肛 .> 正在 证 EE 


如 果 未 可 置 相应 的 反 / 向 妆 搞 区 声 视 条目 ， 则 限 务 器 FQ0Y 将 不 如 用 > 


CE a | 
图 4-36 “允许 区 域 传送 ”对 话 框 


(4) 单 击 “确定 ”按钮 ， 返 回 “区 域 传送 ”选项 卡 。 再 单 击 “ 通 知 ”按钮 ， 打 开 “ 通 
知 ” 对话 框 ， 选择 “自动 通知 ”和 “下 列 服务 器 ”, 在 “< 单 击 此 处 添加 人 P 地 址 或 DNS 名 


称 > "文本 框 中 输入 辅助 DNS 服务 器 的 了 P 地 址 或 计算 机 名 , 按 下 回 车 键 开始 测试 辅助 DNS 
服务 器 ， 如 图 4-37 所 示 。 


要 在 区 域 约 寺 By 自动 通知 铺 动 驰 务 器 ， 请 选择 “后 动 通 若 ”页 过 在 ， 钛 乓 指定 服务 器 。 
屎 自动 通知 从)- 


个 在 “名 聊 弛 务 器 ”选项 不 上 列 二 和服 务 器 5] 
下列 服 务 基 0) 


四 


| PAE 
正在 
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Blo2s 


ENN .> 


图 4-37 “通知 ”对 话 框 


(5) 测试 通过 后 ， 会 自动 返回 


区 域 属性 对 话 框 ， 单 击 “ 确 定 ”按钮 关闭 对 话 框 。 
4.4.2 配置 辅助 DNS 服务 器 


配置 好 主 DNS 服务 器 后 ， 再 以 管理 员 帐 户 登录 到 辅助 DNS 服务 器 上 进行 配置 。 

(1) 打开 DNS 管理 器 , 右 击 “ 正 向 搜索 区 域 ”, 在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ” 
命令 , 打开 新 建 区 域 向 导 ; 单 击 “ 下 一 步 ” 按 钮 ， 在 “区 域 类 型 ”界面 中 选中 “辅助 区 域 ” 
单 选 按钮 ， 将 该 计算 机 设置 为 辅助 DNS 服务 器 ， 如 图 4-38 所 示 。 


“126 Windows Server 2008 系统 管理 


下 
区 二 夫 型 EE 
J 服务 各 持 不同 的 区 域 和 让 由 


a | 
图 4-38 “区 域 类 型 ”界面 


(2) 单 击 “ 下 一 步 ”按钮 ， 进 入 “区 域名 称 ” 界 面 ， 在 “区 域名 称 ”文本 框 中 输入 创 
建 辅助 区 域 的 域名 ， 该 名 称 应 与 主 DNS 服务 器 上 相应 的 名 称 相同 ， 如 图 4-39 所 示 。 


本 
区 域名 称 层 
新 区 域 的 名 称 是 什么 ? 
DES 。 这 可 能 是 您 组 织 单 
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newrone.microsoft. conm)。 区 域名 和 
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图 4-39 “区 域名 称 ” 界 面 


(3) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “ 主 DNS 服务 器 ”界面 ， 在 “< 单 击 此 处 添加 IP 地 
址 或 DNS 名 称 >” 文 本 框 中 输入 主 DNS 服务 器 的 人 P 地 址 ， 按 下 回 车 键 开 始 测试 ， 如 
图 4-40 所 示 。 

到 


主 m5 服务 器 
畏 妈 区 二 从 一 个 或 多 个 8 DNS 骤 务 其 上 辟 制 。 
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图 4-40 “ 主 DNS 服务 器 ”界面 


(4) 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 正 在 完成 新 建 区 域 向 导 ” 界 面 ， 单 击 “ 确 定 ”按钮 ， 
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辅助 区 域 创 建 完 毕 。 

辅助 DNS 服务 器 创建 完成 后 ， 将 会 定时 从 主 DNS 服务 器 上 同步 数据 ,尽量 和 主 DNS 
服务 器 的 记录 保持 一 致 。 也 可 以 右 击 域名 ， 在 弹出 的 快捷 菜单 中 选择 “从 主 服务 器 重新 加 
载 ” 命 令 ， 并 按 F5 键 刷 新 记录 ， 从 而 实现 手动 更 新 。 


4.5 本 章 小 结 


通过 本 章 学 习 , 读者 可 以 掌握 DNS 的 基本 工作 原理 和 工作 模式 , 能 够 配置 基本 的 DNS 
服务 器 ， 设 置 客户 端的 DNS 参数 。 

本 章 首先 介绍 了 DNS 服务 的 基本 原理 ， 从 查询 内 容 上 看 ，DNS 服务 的 模式 有 正 向 查 
询 和 逆向 查询 两 种 ， 从 查询 方法 上 看 ，DNS 服务 有 递归 查询 和 迭代 查询 两 种 。 

另外 ， 本 章 还 介绍 了 安装 DNS 服务 器 的 方法 ， 介 绍 了 如 何在 已 经 建 好 的 DNS 服务 器 
中 添加 正 向 搜索 区 域 和 反 向 搜索 区 域 ， 以 及 如 何 设置 转发 器 的 方法 。 对 于 客户 来 说 ， 正 向 
DNS 查询 是 主要 的 ， 使 用 频繁 ， 反 向 查询 则 要 少 很 多 。DNS 服务 器 也 不 可 能 记录 网 络 上 
所 有 的 域名 记录 ， 因 此 还 需要 利用 转发 器 使 DNS 服务 器 之 间 也 可 以 进行 记录 查询 。 

最 后 介绍 了 辅助 DNS 服务 器 的 安装 方法 。 在 大 型 网 络 或 业务 较 繁 忙 的 网 络 中 ， 必 须 
保证 用 户 随时 可 以 使 用 DNS 服务 ， 此 时 可 以 在 网 络 中 再 布置 一 台 或 更 多 的 辅助 DNS 服务 
器 ， 作 为 主要 DNS 服务 器 的 候补 ， 在 主 DNS 服务 器 出 现 问题 时 依然 可 以 提供 正常 服务 。 


4.6 ”思考 与 练习 


【思考 题 】 
1. 在 企业 网 络 中 DNS 服务 器 能 起 到 什么 作用 ? 
2. 在 内 网 连接 外 网 这 一 环节 上 ， 如 何 快速 设置 DNS 服务 器 ? 


【练习 题 】 
1. 简 述 DNS 服务 的 基本 流程 。 
2. DNS 服务 的 工作 模式 有 哪些 ? 
3. 简 述 辅助 DNS 服务 器 的 作用 是 什么 ? 
4. 辅助 DNS 服务 器 如 何 同步 主 DNS 服务 器 上 的 数据 ? 
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【本 章 导 读 】 
Active Directory(R) 域 服务 (AD DS) 是 Windows Server 2008 操作 系统 的 一 个 服务 器 角 
色 。AD DS 提供 分 布 式 目录 服务 , 用 于 存储 网 络 上 各 种 对 象 的 相关 信息 ， 如 计算 机 、 用 户 、 
打印 机 、 服 务 器 等 ， 并 使 用 一 种 易于 用 户 查找 及 使 用 的 结构 化 的 层次 结构 数据 存储 方法 来 
组 织 和 保存 数据 ， 以 便于 管理 员 查 找 和 使 用 ; 在 整个 目录 中 ， 通 过 登录 验证 以 及 目录 中 对 
象 的 访问 控制 ， 将 安全 性 集成 到 Active Directory 中 ， 可 以 使 用 该 服务 对 网 络 进行 集中 安全 
管理 。 


5.1 活动 目录 概述 


Windows Server 2008 活动 目录 域 服务 (AD DS) 有 了 很 大 的 改进 。 主 要 表现 在 新 增 了 只 
读 域 控制 器 RODC) 的 域 控制 器 类 型 、 更 新 的 活动 目录 域 服务 安装 向 导 、 可 重启 的 活动 目录 
域 服务 、 快 照 查 看 以 及 增强 的 Ntdsutil 命令 等 。 由 于 这 些 改 进 ， 现 在 可 以 通过 新 的 安装 向 
导 简化 部 署 过 程 并 节省 部 署 时 间 ， 可 以 在 物理 安全 无 法 得 到 保证 的 分 支 机 构 部 署 RODC; 
还 可 以 使 用 AD DS 的 可 重启 功能 来 停止 AD DS， 因 此 可 以 执行 诸如 脱 机 的 活动 目录 对 象 
整理 之 类 的 脱 机 操作 , 减少 了 在 Windows Server 2008 下 需要 重启 至 活动 目录 还 原 模式 的 次 
数 。 通 过 快照 查看 还 可 以 在 线 查 看 存储 在 快照 中 的 活动 目录 数据 ， 虽 然 不 能 使 用 此 特性 来 
还 原 已 删除 的 对 象 和 容器 ， 但 是 可 以 在 不 重启 域 控制 器 的 情况 下 ， 使 用 它 来 比较 不 同时 间 
点 的 快照 以 确定 用 哪 份 数据 进行 恢复 。 


5.1.1 活动 目录 服务 的 功能 


目录 服务 可 以 实现 如 下 功能 : 

(1) 提高 管理 者 定义 的 安全 性 来 保证 信息 不 受 入 侵 者 的 破坏 ; 

(2) 将 目录 分 布 在 一 个 网 络 中 的 多 台 计算 机 上 ， 提 高 了 整个 网 络 系统 的 可 靠 性 ; 

(3) 复制 目录 可 以 使 得 更 多 用 户 获得 它 并 且 减 少 使 用 和 管理 开销 ， 提 高 效率 ; 

(4) 分 配 一 个 目录 于 多 个 存储 介质 中 ， 使 其 可 以 存储 规模 非常 大 的 对 象 。 

Active Directory 服务 包括 证 书 服务 (AD CS)、 域 服务 (AD DS)、 联 合身 份 验证 服务 
(AD FS)、 轻 型 目录 服务 (AD LDS) 和 权限 管理 服务 (AD RMS)。 功 能 如 下 : 

(D Active Directory Certificate Services( 证 书 服务 )， 允许 创建 、 分 发 和 管理 自 定义 公 
钥 证 书 。 通 过 将 个 人 、 设 备 或 服务 的 标识 与 相应 的 私 钥 进行 绑 定 ,组织 可 使 用 AD CS 来 增 
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强 安全 性 。AD CS 为 组 织 提供 了 一 种 对 证 书 的 分 发 和 使 用 进行 管理 的 经 济 、 高 效 和 安全 的 
方法 。AD CS 所 支持 的 应 用 领域 包括 安全 /多 用 途 Intemet 邮件 扩展 (S/MIME)、 安 全 的 无 
线 网 络 、 虚 拟 专用 网 络 (VPN)、Internet 协议 安全 (Psec)、 加 密 文件 系统 (EFS)、 智 能 卡 登录 、 
安全 套 接 字 层 /传输 层 安全 性 (SSL/TLS) 以 及 数字 签名 。 

(2) Active Directory Domain Services(AD DS 域 服务 ): 存储 目录 数据 以 及 管理 用 户 与 域 
之 间 的 通信 , 包括 用 户 登 录 过 程 、 身 份 验证 和 目录 搜索 。 通过 应 用 Windows Server 2008 的 
域 服务 器 角色 ， 可 以 为 用 户 和 资源 管理 创建 一 个 大 规模 的 、 安 全 的 、 可 管理 的 架构 ， 并 且 
可 以 支持 目录 驱动 的 应 用 程序 ， 比 如 Microsoft Exchange Server。 

(3) Active Directory Federation Services(AD FS 联合 身份 验证 服务 ): 可 用 来 创建 可 高 度 
扩展 、 可 伸缩 和 安全 的 身份 访问 解决 方案 , 此 解决 方案 可 在 多 个 平台 上 工作 , 包括 Windows 
和 非 Windows 环境 ， 提 供 Web 单一 登录 (SSO) 技 术 以 在 单个 联机 会 话 期 间 为 多 个 Web 应 
用 程序 对 用 户 进行 身份 验证 。 

(4) Active Directory Lightweight Directory Services(AD LDS 轻型 目录 服务 ): 是 一 种 轻 
型 目录 访问 协议 LDAP)， 可 以 灵活 地 支持 启用 目录 的 应 用 程序 ， 并 且 不 受 Active Directory 
域 服务 (AD DS) 的 限制 。AD FS 是 一 个 身份 访问 解决 方案 ， 即 使 用 户 帐 户 和 应 用 程序 分 别 
处 于 完全 不 同 的 网 络 或 组 织 中 ， 它 也 使 基于 浏览 器 的 客户 端 (网 络 内 部 或 外 部 ) 能 够 对 一 个 
或 多 个 面向 Internet 的 受 保护 应 用 程序 进行 无 颖 的 “一 次 提示 ”访问 。 

当 应 用 程序 处 于 一 个 网 络 中 而 用 户 帐 户 处 于 另 一 个 网 络 中 时 ， 用 户 在 尝试 访问 该 应 用 
程序 时 通常 会 遇 到 要 求 输入 辅助 凭据 的 提示 。 这 些 辅 助 凭据 代表 应 用 程序 所 驻 留 的 领域 中 
的 用 户 身份 。 承 载 该 应 用 程序 的 Web 服务 器 通常 需要 这 些 凭据 ， 以 便 能 够 作出 最 适当 的 
身份 认证 决策 。 

AD FS 通过 提供 信任 关系 来 避免 使 用 辅助 帐户 及 其 凭据 , 可 以 使 用 此 信任 关系 将 用 户 
的 数字 身份 和 访问 权限 投影 到 受信 任 的 伙伴 。 在 联合 的 环境 中 ， 每 个 组 织 除了 能 继续 管理 
自己 的 身份 外 ， 还 能 安全 地 投影 和 接受 来 自 其 他 组 织 的 身份 。 

此 外 ， 可 以 将 联合 身份 验证 服务 器 部 署 在 多 个 组 织 中 ， 以 便 简 化 受信 任 伙伴 组 织 之 间 
的 企业 对 企业 (B2B) 事 务 。 联 合 的 B2B 合作 关系 将 商业 伙伴 识别 为 下 列 组 织 类 型 之 一 。 

e 资源 组 织 。 如 果 组 织 拥有 并 管理 可 从 Intemet 访问 的 资源 ， 则 可 以 部 署 AD FS 联合 

服务 器 和 启用 AD FS 的 Web 服务 器 ， 这 些 服务 器 管理 受信 任 伙伴 对 受 保护 资源 的 
访问 。 这 些 受 信任 的 伙伴 可 以 包括 外 部 的 第 三 方 或 同一 组 织 中 的 其 他 部 门 或 分 支 
机 构 。 

e 帐户 组 织 。 如 果 组 织 拥有 并 管理 用 户 帐 户 ， 则 可 以 部 署 对 本 地 用 户 进行 身份 验证 的 
ADFS 联合 服务 器 ， 并 创建 资源 组 织 中 的 联合 服务 器 ， 之 后 可 以 做 出 授权 决策 的 
安全 令 牌 。 

在 访问 其 他 网 络 中 的 资源 时 ， 对 一 个 网 络 进行 身份 验证 的 过 程 称 为 单一 登录 (SSO)， 

它 消除 了 重复 登录 操作 的 负担 。AD FS 提供 基于 Web 的 SSO 解决 方案 ， 该 解决 方案 在 一 
个 浏览 器 会 话 的 整个 期 间 针 对 多 个 Web 应 用 程序 对 用 户 进行 身份 验证 。 
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(5) Active Directory Rights Management Services(AD RMS 权限 管理 服务 ): 决定 了 如 何 
保护 信息 ,以 及 如 何 与 启用 AD RMS 的 应 用 程序 协同 工作 ,帮助 防止 在 未 经 授权 的 情况 下 
使 用 数字 信息 。 


5.1.2 活动 目录 结构 


活动 目录 包括 两 方面 :目录 和 目录 相关 的 服务 。 目 录 是 一 个 物理 上 的 存储 各 种 对 象 的 
容器 ， 目 录 管 理 的 基本 对 象 是 用 户 、 计 算 机 、 文 件 以 及 打印 机 等 资源 对 象 。 而 目录 服务 是 
使 目录 中 所 有 信息 和 资源 发 挥 作用 的 服务 ， 如 用 户 和 资源 管理 、 基 于 目录 的 网 络 服务 、 基 
于 网 络 的 应 用 管理 。 活 动 目录 是 一 个 分 布 式 的 目录 服务 ， 信 息 可 以 分 散在 多 台 不 同 的 计算 
机 上 ， 保 证 快速 访问 和 容错 ; 同时， 不 管用 户 从 何 处 访问 或 信息 处 在 何 处 ， 对 用 户 都 提供 
统一 的 视图 。 

AD DS 的 逻辑 结构 是 由 域 、 组 织 单元 、 树 和 树林 、 全 局 编 录 等 多 个 组 件 组 合 而 成 的 。 

1. 域 


域 又 称 域 目录 ， 是 将 网 络 中 多 台 计 算 机 在 逻辑 上 组 织 到 一 起 ， 进 行 集中 管理 ， 是 共享 
同一 活动 目录 的 一 组 计算 机 的 集合 ,这 种 区 别 于 工作 组 的 逻辑 环境 称 为 “ 域 ”。 域 是 Windows 
的 逻辑 管理 单元 ， 是 一 系列 的 用 户 帐户 、 访 问 权限 和 其 他 各 种 资源 的 集合 。 域 是 安全 的 边 
界 ， 在 默认 情况 下 ， 域 管理 员 只 能 对 本 域 范围 内 的 对 象 进行 管理 ， 不 能 管理 其 他 域 ， 除 非 
被 明确 分 配 了 对 其 他 域 拥有 的 管理 权利 。 

可 从 以 下 应 用 实例 中 体会 域 的 作用 :在 基于 Windows 工作 组 功能 而 构建 的 对 等 网 络 ( 通 
常 为 小 型 网 络 ) 中 , 资源 分 布 在 多 台 服 务 器 上 ， 要 在 每 台 服 务 器 分 别 为 每 一 员工 建立 一 个 帐 
户 ( 共 mxn)， 用 户 则 需要 在 每 台 服务 器 上 ( 共 m 台 ) 登 录 ， 如 图 5-1 所 示 ， 因 此 ， 基 于 工作 
组 的 对 等 网 络 通常 为 小 型 网 络 。 


5-1 基于 工作 组 的 对 等 网 络 
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如 图 5-2 所 示 , 在 基于 Windows 域 服务 的 功能 而 构建 的 网 络 中 ， 服 务 器 和 用 户 的 计算 
机 都 在 同一 个 域 中 ， 用 户 只 需要 在 域 中 拥有 一 个 域 帐户 ， 只 需要 在 域 中 登录 一 次 就 可 以 访 
问 域 中 的 资源 了 ; 可 见 ， 域 可 以 组 建 大 型 的 网 络 ， 而 且 简化 了 网 络 管理 ， 方 便 了 网 络 用 户 。 


图 5-2 基于 域 的 网 络 


用 点 分 字符 串 结构 表示 域 的 名 称 ， 如 某 公司 的 域名 为 ms.com。 

在 一 个 域 中 , 通过 运行 Active Directory 来 发 挥 对 域 的 管理 、 控 制作 用 的 服务 器 称 为 域 
控制 器 ， 活 动 目录 的 所 有 信息 (包括 用 户 帐号 和 安全 数据 库 ) 存 储 在 域 控制 器 内 。 域 控制 器 
一 般 是 一 台 服 务 器 级 别 的 计算 机 , 在 Windows Server 2008 家 族 中 , 除 Windows Web Server 
2008 外 ， 其 他 都 可 以 扮演 域 控制 器 的 角色 。 

由 于 在 域 控制 器 上 ，Active Directory 存储 了 所 有 的 域 范围 内 的 帐户 和 策略 信息 ， 如 系 
统 的 安全 策略 、 用 户 身 份 验证 数据 和 目录 搜索 。 帐 户 信息 可 以 属于 3 种 对 象 之 一 : 用户、 
服务 和 计算 机 。 


注意 : 
由 于 有 Active Directory 的 存在 , 域 控制 器 不 需要 本 地 安全 帐户 管理 器 (SAM)， 即 域 控 
制 器 上 的 登录 不 仅仅 是 登录 本 机 ， 全 是 登录 到 整个 域 中 。 


一 个 域 可 包含 多 个 域 控制 器 ， 每 一 台 域 控制 器 的 地 位 (几乎 ) 是 平等 的 ， 各 自 存储 着 一 
份 几乎 完全 相同 的 活动 目录 数据 库 。 当 某 个 域 控 制 器 的 活动 目录 数据 库 修改 以 后 ， 会 将 此 
修改 复制 到 其 他 所 有 域 控制 器 ， 以 便 让 所 有 域 控制 器 内 的 AD DS 数据 都 能 够 同步 。 比 如 ， 
当 在 任何 一 台 域 控制 器 内 添加 一 个 用 户 帐 户 后 ， 这 个 帐户 默认 是 被 创建 在 此 域 控制 器 的 活 
动 目录 数据 库 内 ， 之 后 这 份 帐户 数据 会 自动 被 复制 到 其 他 域 控制 器 的 活动 目录 数据 库 内 ， 
实现 了 域 控 制 器 之 间 信 息 的 同步 更 新 。 

多 台 域 控制 器 可 以 提高 系统 的 可 靠 性 ， 提 供 容错 功能 ， 同 时 可 以 改善 登录 效率 。 

域 控制 器 之 间 在 复制 活动 目录 数据 库 时 ， 其 复制 方式 可 以 分 为 以 下 两 种 模式 。 

(1) 多 主机 复制 模式 (Multi-master Replication Model) 

活动 目录 数据 库 内 的 大 部 分 的 数据 (如 上 述 帐 户 数据 的 复制 ) 都 是 利用 这 种 模式 在 复制 。 

(2) 单 主机 复制 模式 (Single-master Replication Model) 

当 提 出 更 改 对 象 数 据 的 请 求 的 时 候 ， 会 由 其 中 一 台 域 控制 器 (操作 主机 ) 负 责 接收 与 处 
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理 此 请 求 ， 也 就 是 说 该 对 象 是 先 被 更 新 在 操作 主机 ， 再 由 这 台 操 作 主 机 将 它 复制 到 其 他 域 
控制 器 。 

域 中 除 域 控制 器 外 ， 通 常 还 有 其 他 成 员 计算 机 ， 要 充分 管理 计算 机 ， 需 要 将 这 些 计算 
机 加 入 到 域内 。 比 如 ， 用 户 要 使 用 活动 目录 数据 库 内 的 域 用 户 帐 户 来 登录 ， 这 些 计 算 机 也 
必须 加 入 域 。 没 有 加 入 域 的 计算 机 只 能 够 使 用 本 地 用 户 帐 户 登录 。 

域 中 其 他 成 员 计 算 机 包括 成 员 服 务 器 、 独 立 服 务 器 和 客户 端 计算 机 。 

e 成 员 服务 器 

服务 器 级 别 的 计算 机 加 入 域 后 被 称 为 成 员 服务 器 ， 成 员 服务 器 的 区 别 不 是 硬件 ， 而 是 
操作 系统 。 成 员 服务 器 可 以 是 : 

Windows Server 2008 

Windows Server 2003 

Windows Server 2000 

e 独立 服务 器 

车 上 述 服 务 器 没有 加 入 到 域 ， 则 被 称 为 独立 服务 器 或 工作 组 服务 器 。 独 立 服 务 器 或 工 
作 组 服务 器 都 有 本 地 的 SAM(Security Accounts Manager)， 系 统 可 以 用 SAM 来 审核 本 地 的 
用 户 身 份 。 

e 客户 端 计 算 机 

包括 : 

Windows Vista Ultimate 

Windows Vista Enterprise 

Windows Vista Bussiness 

Windows XP Professional 


注意 : 

Vista home premium、Vista home basic、Vista starter、XP home edition 等 计算 机 在 登录 
窗口 中 无 法 选择 域 用 户 来 登录 ， 只 能 利用 本 地 用 户 帐 户 来 登录 。 

在 Windows 网 络 环境 下 ， 可 以 将 独立 服务 器 或 成 员 服 务 器 升级 成 为 域 控制 器 ,也 可 以 
将 域 控制 器 降级 为 独立 服务 器 或 成 员 服 务 器 。 

2. 组 织 单元 (Organizational Unit，OU) 

组 织 单元 是 一 个 比较 特殊 的 容器 。 一 个 组 织 单元 可 以 包括 用 户 、 计 算 机 、 文 件 以 及 打 
印 机 等 资源 对 象 与 其 他 组 织 单元 ， 还 有 组 策略 功能 ， 即 通过 作用 于 本 单元 内 的 策略 来 管理 
资源 对 象 与 其 他 组 织 单元 。 通 过 为 用 户 或 组 分 配 特定 的 权限 ， 从 而 给 其 委派 对 某 个 OU 中 
的 对 象 进行 管理 控制 的 能 力 。 

3. 域 树 

一 个 组 织 单元 ， 如 公司 ， 通 常 有 包含 若干 个 二 级 部 门 ， 如 财务 部 、 销 售 部 等 ， 有 的 二 
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级 部 门下 还 包括 若干 个 三 级 部 门 ， 如 销售 部 包括 河南 销售 科 和 河北 销售 管 科 等 。 大 型 单元 
的 各 个 部 门 为 了 提高 自身 信息 的 管理 效率 ， 通 常 都 有 自己 的 域 ， 与 上 级 部 门 的 域 形成 层次 
关系 , 下 级 部 门 的 域名 以 上 级 部 门 的 域名 为 后 绥 , 如 上 述 公司 销 售 部 的 域名 为 sales ms.com， 
河南 销售 科 的 域名 为 henan.sales.ms.com, 河北 销售 科 的 域名 为 hebei.sales ms.com。 如 图 5-3 
所 示 ， 最 上 层 的 域 为 根 域 ， 根 域 的 下 级 域 称 为 它 的 子 域 ， 根 域 和 它 的 各 层次 子 域 组 成 了 一 
个 树 状 结构 ， 该 结构 称 为 “ 域 树 ”。 一 个 域 树 只 有 一 个 名 字 ， 取 名 为 根 域 的 名 字 。 


一 根 域 
sales. ms. com finan.ms.com| ,....,.. 一 子 域 
henan. sales. ms. com hebei. sales. ms. com| “******** 一 子 域 


图 5-3 域 树 


域 树 内 的 根 域 和 它 的 所 有 子 域 共享 一 个 活动 目录 数据 库 ， 不 过 这 个 活动 目录 数据 库 内 
的 数据 分 散 地 分 布 在 各 个 域内 ， 每 个 域 只 存储 属于 该 域 的 数据 。 

域 树 内 的 一 个 域 与 子 域 之 间 用 信任 关系 建立 联系 。 两 个 域 建立 信任 关系 后 一 个 域 中 的 
主机 才 可 以 访问 对 方 域内 的 资源 。 当 一 个 域 的 域 服务 器 被 加 入 到 域 树 的 活动 目录 数据 库 后 ， 
这 个 域 会 自动 信任 父 域 ， 同 时 父 域 也 自动 信任 这 个 新 加 入 的 子 域 ， 而 且 这 种 信任 关系 具有 
双向 传递 性 (Two-way Transitivej。 因 为 传递 性 得 到 的 信任 关系 ， 称 为 隐 性 的 信任 关系 。 所 
以 ， 当 任何 一 个 子 域 加 入 到 域 树 后 ， 它 会 自动 双向 信任 这 个 域 树 内 的 所 有 域 ， 因 此 只 要 拥 
有 适当 权限 ， 这 个 新 域内 的 用 户 便 可 以 访问 其 他 域 的 资源 ， 同 理 ， 其 他 域内 的 用 户 也 可 以 
访问 这 个 新 域内 的 资源 。 

另 一 方面 ， 按 照 功 能 的 不 同 ， 可 以 将 目前 的 域 划分 为 三 个 级 别 : Windows 2000 域 、 
Windows Server 2003 域 和 Windows Server 2008 域 。 一 个 域 的 功能 级 别 的 设置 只 影响 到 该 
域 ， 不 会 影响 到 其 他 域 。 

Windows 2000 域内 的 域 控制 器 上 使 用 的 操作 系统 版 本 可 以 是 : Windows 2000 Server、 
Windows Server 2003 或 Windows Server 2008。 

Windows Server 2003 域内 的 控制 器 可 以 是 : Windows Server 2003 或 Windows Server 
2008 。 

Windows Server 2008 域内 的 域 控制 器 只 能 是 : Windows Server 2008。 


注意 : 
可 见 ， 域 内 的 域 控制 器 上 操作 系统 的 版 本 不 能 比 域 级 别 低 ， 但 可 以 比 域 级 别 高 。 可 以 
提升 域 的 功能 级 别 。 比 如 将 Windows 2000 域 的 功能 级 别提 升 到 Windows Server 2008。 一 
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旦 提升 后 ， 不 能 再 被 降级 。 
4. 域 树林 


域 树林 由 一 个 或 多 个 域 树 组 成 ， 如 图 5-4 所 示 ， 域 树林 中 创建 的 第 一 个 域 树 ， 其 根 域 
就 是 整个 域 树林 的 根 域 ， 同 时 该 根 域 的 名 称 就 是 域 树林 的 名 称 。 各 域 树 之 间 地 位 相当 ， 由 
双向 传递 的 信任 关系 相关 联 ， 当 创建 域 树林 时 ， 一 个 域 树 内 的 根 域 与 其 他 域 树 内 的 根 域 之 
间 双 向 的 、 传 递 性 的 信任 关系 都 会 被 自动 创建 。 因 此 ， 每 个 域 树 中 的 每 个 域内 的 用 户 ， 只 
要 拥有 权限 ， 都 可 以 登录 到 其 他 任何 一 个 域 树 内 各 个 域 的 计算 机 ， 访 问 计 算 机 的 资源 。 


图 5-4 树林 


单独 的 一 个 域 组 成 仅 包含 一 个 域 的 域 树 ， 单 独 的 一 个 域 树 组 成 仅 包 含 一 个 域 树 的 域 
树林 。 

另 一 方面 ， 与 功能 级 别 类 似 ， 一 个 域 树林 的 功能 级 别 的 设置 只 影响 到 该 域 树林 ， 不 会 
影响 到 其 他 域 树林 。 但 在 Windows Server 2008 域 树林 的 功能 级 别 之 内 所 添加 的 域 ， 其 域 
功能 级 别 会 被 设置 为 Windows Server 2008。 


5. 全 局 编 录 


虽然 在 域 树 内 的 所 有 域 共享 一 个 活动 目录 数据 库 ， 但 是 活动 目录 数据 库 内 的 数据 确实 
分 散在 各 个 域内 ， 而 且 每 个 域 只 存储 域 本 身 的 数据 。 为 了 让 用 户 、 应 用 程序 能 够 迅速 地 找 
到 位 于 其 他 域 的 资源 ， 设 计 了 全 局 编 录 。 

全 局 编 录 的 数据 是 存储 在 域 控制 器 内 的 ， 这 台 域 控制 器 被 称 为 全 局 编 录 服务 器 ， 其 存 
储 着 林内 所 有 域 的 活动 目录 数据 库 内 的 每 一 个 对 象 ， 不 过 只 存储 每 一 个 对 象 的 部 分 属性 ， 
这 些 属 性 都 是 常 被 搜索 的 属性 。 

用 户 登录 的 时 候 ， 全 局 编 录 服务 器 负责 提供 该 用 户 所 隶属 的 全 局 组 数据 。 当 用 户 用 
usemame@ms.com 登录 时 ， 它 负责 提供 该 用 户 是 属于 哪 一 个 域 的 信息 。 

一 个 林内 的 所 有 域 树 目录 共享 相同 的 全 局 编 录 ， 而 林内 的 第 一 台 域 控制 器 默认 为 全 局 
编 录 服务 器 。 也 可 以 指派 其 他 域 控制 器 为 全 局 编 录 服务 器 。 
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6. 轻型 目录 访问 协议 (LDAP) 

轻型 目录 访问 协议 是 用 来 访问 活动 目录 数据 库 的 目录 服务 协议 。 活 动 目 录 是 利用 
LDAP 名 称 路 径 (LDAP Naming Path) 来 表示 对 象 在 活动 目录 数据 库 中 的 位 置 ， 以 便 用 它 来 
访问 活动 目录 数据 库 内 的 对 象 。 


注意 : 

站 点 与 域 不 同 。 域 代表 组 织 的 逻辑 结构 ， 而 站 点 代表 网 络 的 物理 结构 ， 因 为 一 个 站 点 
可 以 跨越 多 个 域 ， 而 一 个 域 也 可 以 跨越 多 个 站 点 。 站 点 并 不 属于 域名 称 空间 的 一 部 分 ， 站 
点 控制 域 信息 的 复制 ， 并 可 以 帮助 确定 资源 位 置 的 远近 。 


站 点 是 由 一 个 或 多 个 外 子 网 所 组 成 的 , 这 些 子 网 之 间 通 过 高 速 且 可 靠 的 链 路 串 接 起 来 ， 
如 果 链 路 不 满足 要 求 ， 应 该 将 其 划 为 不 同 的 站 点 。 例 如 ， 一 个 LAN 内 的 各 个 子 网 之 间 的 
链 路 都 是 高 速 且 可 靠 的 链 路 ， 而 通过 WAN 互联 的 站 点 速度 一 般 不 快 ， 所 以 应 该 划分 为 多 
个 站 点 。 

域 是 逻辑 的 分 组 ,而 站 点 是 物理 的 分 组 , 在 活动 目录 内 ， 一 个 站 点 可 能 会 含有 多 个 域 ; 
而 一 个 域内 的 计算 机 也 可 能 分 别 属 于 不 同 的 站 点 。 

如 果 一 个 域 的 域 控制 器 分 布 在 不 同 的 站 点 内 ， 且 这 些 站 点 是 低速 连接 ， 由 于 两 个 域 控 
制 器 之 间 因 为 需要 同步 数据 而 需要 复制 数据 ， 所 以 需要 谨慎 规划 数据 复制 的 时 间 段 ， 尽 量 
设置 在 非 高 峰 时 期 来 执行 复制 工作 ， 同 时 复制 频率 也 不 要 太 高 ， 以 避免 复制 时 占用 两 个 站 
点 之 间 的 链接 带宽 ， 影 响 两 个 站 点 之 问 的 数据 传输 。 隶 属于 同一 个 站 点 之 问 的 域 控制 器 会 
自动 执行 复制 功能 ， 默 认 的 复制 频率 也 比较 高 。 

不 同 站 点 之 间 的 数据 进行 复制 的 时 候 ， 所 传送 的 数据 会 被 压缩 ， 同 一 个 站 点 之 间 的 数 
据 不 会 被 压缩 。 


5.2 ”活动 目录 的 配置 与 删除 


5.2.1 安装 前 的 准备 


首先 ， 在 安装 活动 目录 之 前 ， 必 须 保证 已 经 有 两 台 计 算 机 (假设 分 别名 为 W2K8S1 和 
W2K8S2) 安 装 了 Windows Server 2008， 且 至 少 有 一 个 NTFS 分 区 ， 已 配置 适当 的 卫 地 址 
和 DNS 服务 器 ， 并 且 DNS 服务 支持 服务 器 记录 和 动态 更 新 协议 。 

其 次 ， 要 规划 好 整个 系统 的 域 结构 ， 活 动 目录 可 包含 一 个 或 多 个 域 ， 如 果 整 个 系统 的 
目录 结构 规划 得 不 好 、 层 次 不 清 , 就 不 能 很 好 地 发 挥 活动 目录 的 优越 性 。 在 这 里 选择 根 域 (就 
是 一 个 系统 的 基本 域 ) 是 一 个 关键 ， 根 域名 字 的 选择 可 以 有 以 下 几 种 方案 : 

(1) 可 以 使 用 一 个 已 经 注册 的 DNS 域名 作为 活动 目录 的 根 域名 , 这 样 的 好 处 在 于 企业 
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的 公共 网 络 和 私有 网 络 使 用 同样 的 DNS 名 字 。 

(2) 还 可 使 用 一 个 已 经 注册 的 DNS 域名 的 子 域名 作为 活动 目录 的 根 域名 。 

(3) 为 活动 目录 选择 一 个 与 已 经 注册 的 DNS 域名 完全 不 同 的 域名 。 这样 可 以 使 企业 网 
络 在 内 部 和 互联 网 上 呈现 出 两 种 完全 不 同 的 命名 结构 。 

(4) 把 网 络 的 公共 部 分 用 一 个 已 经 注册 的 DNS 域名 进行 命名 , 而 私有 网 络 用 另 一 个 内 
部 域名 ， 从 名 字 空 间 上 把 两 部 分 分 开 ， 这 样 做 就 使 得 每 一 部 分 要 访问 另 一 部 分 时 必须 使 用 
对 方 的 名 字 空 间 来 标识 对 象 。 

然后 ， 要 进行 域 和 帐户 命名 规划 ， 因 为 使 用 活动 目录 的 意义 之 一 就 在 于 使 内 、 外 部 网 
络 使 用 统一 的 目录 服务 ， 采 用 统一 的 命名 方案 ， 以 方便 网 络 管理 。 

最 后 , 要 注意 设置 规划 好 域 间 的 信任 关系 , 对 于 服务 端 计算 机 , 通过 基于 Kerberos V5 
安全 协议 的 双向 、 可 传递 信任 关系 启用 域 之 间 的 帐户 验证 。 


5.2.2 安装、 配置 活动 目录 


本 节 以 安装 活动 目录 、 配 置 testedu.cn 域 为 例 ， 在 例 内 建立 名 称 分 别 为 Win2008sv1 
和 Win2008sv2 的 两 台 域 控制 器 。 


1. 建立 Win2008sv1 域 控制 器 


建立 域 林 的 第 一 个 根 域 ， 在 名 为 Win2008sv1 的 计算 机 上 安装 第 一 个 域 控制 器 。 操 作 
步骤 如 下 : 
(1) 以 系统 管理 员 帐 号 如 administrator 登录 Win2008svl 计算 机 ， 并 设置 其 TCP/IP 属 
性 如 下 : 
卫 地 址 ;192.168.1.1; 
子 网 拖 码 : 255.255.255.0; 
网 关 : 192.168.1.1(Win2008sv1 的 卫 地 址 ); 
DNS 服务 器 的 他 地 址 : 192.168.1.1(Win2008svl 的 他 地 址 )。 
选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 如 图 5-5 所 示 。 
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图 5-5 服务 器 管理 器 
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(C) 在 “服务 器 管理 器 ”管理 界面 的 右边 窗 格 ， 单 击 “ 添 加 角色 ”链接 ， 如 图 5-6 所 示 。 


al 


图 5-6 服务 器 管理 器 


(G3) 在 “添加 角色 向 导 ” 对 话 框 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 
5-7 所 示 。 
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图 5-7 添加 角色 向 导 
(4) 在 “添加 角色 向 导 ” 对 话 框 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “Active Directory 
域 服务 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 图 5-8 所 示 。 
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图 5-8 选择 服务 器 角色 
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(5) 在 “添加 角色 向 导 ” 对 话 框 的 “Active Directory 域 服务 ”界面 中 ， 阅 读 相 关 信息 ， 


然后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-9 所 示 。 
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其 他 信息 

直下 可 证 

安 竺 如 JS 

吉政 的 常 四 配置 


《上 一步 中 a 取消 


图 5-9 Active Directory 域 服务 


(6) 在 “添加 角色 向 导 ” 对 话 框 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ” 按 钮 ， 如 


图 5-10 所 示 。 


洪 加 角色 向 导 加 
各 确认 安装 选择 
ee 要 安装 下 衣 生 、 租用 务求 J 藤 ， 光 间 中 “ 安 半 "。 
hetive Diraetmy 把 限 和 D2 条 提 必 消 和 四 寺 加 下 
国 六 洪 夫 成 之 后 , 可 能 村 要 重新 户 该 服务 器。 
下 加 hetive Wireetery 本 服务 
SE Dr A er on 伟人 


人 .IET Fewmeverk 3.5.1 功 陀 
IT Franewerk 3.5.1 


拉 四 .人 在 或 通 下 三 部 具 话 贞 信 息 


C= 7 取消 
图 5-10 确认 安装 选择 


(7) 在 “添加 角色 向 导 ” 对 话 框 的 “安装 结果 ”界面 中 ， 可 以 看 到 显示 “安装 成 功 ” 
的 字样 ， 代 表 “Active Directory 域 服务 ”安装 成 功 ， 单 击 如 图 5-11 所 示 界 面 中 的 “关闭 该 
向 导 并 启动 Active Directory 域 服务 安装 向 导 (dcpromo.exe)” 链 接 , 以 启动 *Active Directory 
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域 服务 安装 向 导 ”。 


| 添加 角色 向 导 < 
虱 安装 结果 

J ET 

Wm 1 条 区 让，1 和 提示 性 表 有 呈 直 轨 下 

hetive Hirretary 二 有 和 c= Ee 

太 RE vices 


A nw 自动 昌 新 。 力 辽 伯 记 吉 新 名 新 妇 半 的 前 色 或 功能 ， 请 启用 “控制 大 板 ” 中 
多 Pindmws Wpéatee 


加 支 将 反 功 


A rectery 域 控制 天 
回 二 下 6 Eeeterr 志和 的 6S (prone ee 信子 吕 示人 下 和 运行 和 导 
关闭 读 向 导 并 启 翅 Activ* 3ireetery 域 服务 安装 向 呈 (hepr on 


本 .mr Eeemerverk 3.5.1 功 驴 加 雪 装 成功 
TY: 


ET Pranevork 3.5.1 


0、 保 礁 或 道 计 晶 邯 邮 任 恬 详 志 装 报 告 


Em | Tm 
图 5-11 安装 结果 


(8) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “欢迎 使 用 Active Directory 域 服 


务 安装 向 导 ” 界 面 ， 选 中 “使 用 高 级 模式 安装 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 
5-12 所 示 。 


闻 htive Directory 域 服务 安装 向 导 


将 鲁 Active Directory 域 服务 
LD pe 


Jirectory 域 往 制 总。 


| 


下 苹 用 高 级 模式 支 区 四) 
以 二 式 安 站 梧 用 的 其他 这 89 详细 


有 关 Active Direetory 域 服务 的 洋 细 信 息 


FE | 


图 5-12 ”Active Directory 域 服务 安装 向 导 


(9) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “操作 系统 兼容 性 ”界面 中 ， 查 
看 相关 信息 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-13 所 示 。 
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图 5-13 操作 系统 兼容 性 


(10) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “选择 某 一 部 署 配置 ”界面 中 ， 
选中 “在 新 林 中 新 建 域 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-14 所 示 。 


EPETHEEEEB 


图 5-14 选择 某 一 部 署 配置 


(11) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “命名 林 根 域 ”界面 的 “目录 林 
根 级 域 的 FQDN” 文 本 框 中 ， 输 入 要 建立 的 林 根 域 的 域名 ， 这 里 输入 testedu.cn， 然 后 单 击 
“下 一 步 ” 按 钮 ， 如 图 5-15 所 示 。 


<-*@[ _ 
图 5-15 设置 目录 林 根 级 域 的 FQDN 
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(12) 在 确认 所 输入 的 林 根 域 的 FQDN 与 计算 机 的 NetBIOS 没有 冲突 后 ， 接 着 切换 至 
“Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “ 域 NetBIOS 名 称 ” 界 面 ， 在 “ 域 NetBIOS 
名 称 ” 文 本 框 中 确认 所 输入 的 FQDN 名 称 中 最 左边 的 域名 ， 本 例 为 TEST， 然 后 单 击 “ 下 
一 步 ”按钮 ， 如 图 5-16 所 示 。 


名称 E 
这 是 Wiadows 手 期 版 本 的 用 户 用 于 村 识 休 二 的 名 称 。 时 


es 
接 列 辣 S 生 所 89 名 称 ， 台 者 刍 入 大 名 称 ， 天 后 科 击 “下 一 步 ”。 


域 了 和 UT0s 名 称 四 ) [Ea ” i 


一 | 
图 5-16 域 NetBIOS 名 称 


(13) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “设置 林 功 能 级 别 ” 界 面 的 “ 林 
功能 级 别 ” 下 拉 列 表 中 选择 “Windows 2000” 选 项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-17 
所 示 。 


一 9 | 
图 5-17 设置 林 功 能 级 别 


(14) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “设置 域 功能 级 别 ” 界 面 的 “ 域 
功能 级 别 ” 下 拉 列 表 框 中 选择 “Windows 2000 纯 模式 ”选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 
如 图 5-18 所 示 。 
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上 -sg[E-29i sn | 


图 5-18 设置 域 功能 级 别 


(15) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “其 他 域 控制 器 选项 ”界面 中 ， 
如 图 5-19 所 示 ， 确 定 “DNS 服务 器 ” 复 选 框 是 被 选中 的 。 因 为 所 安装 的 域 控制 器 是 林 下 
的 第 一 台 ， 所 以 “全 局 编 录 ” 复 选 框 会 被 强制 选中 ， 而 “只 读 域 控制 器 (RODC)” 复 选 框 无 
法 选中 ， 主 要 是 因为 林 中 的 根 域 尚未 建立 ， 然 后 单 击 “下 一 步 ”按钮 ， 如 果 安 装 向 导 显示 
无 法 建立 DNS 服务 器 的 委派 ， 则 单 击 “ 是 ”按钮 ， 以 进行 手动 委派 。 


J 


AL-sm[F-25] en | 


图 5-19 其 他 域 控制 选项 


(16) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “数据 库 、 日 志文 件 及 SYSVOL 


的 位 置 ” 界面 中 , 设置 数据 库 、 日 志文 件 及 SYSVOL 文件 夹 的 正确 路 径 。 本 例 使 用 默认 值 ， 
单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-20 所 示 。 


At-su[F-s5] en | 


5-20 数据库、 日 志文 件 和 SYSVOL 的 位 置 
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(17) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “目录 服务 还 原 模式 的 
Administrator 密码 ”界面 中 ， 设 置 登 录 目 录 服 务 还 原 模式 时 管理 员 需 要 输入 的 密码 ， 然 后 
单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-21 所 示 。 


目录 服务 还 原 神 式 的 Adninistrater 密码 岂 


目录 服务 还 原 模式 Adninistrator 帐户 不 同 于 域 Mninistratar 帐户 。 
Re 
密码 到 ): aa 

确认 密码 C) | 从 党 党 当当 当当 雪夫 向 二 

关于 目录 服务 评 愿 樟 式 定 码 的 详 姑 信 息 


Xi-wo[r So) am | 
图 5-21 设置 Administrator 密码 


(18) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “摘要 ”界面 的 “检查 您 的 选择 ” 
列表 框 中 ， 查 看 先前 的 设置 ， 然 后 单 击 “ 导 出 设置 ”按钮 ， 将 这 台 即 将 建立 的 域 控制 器 的 
相关 设置 予以 存储 ， 安 装 后 续 域 控制 器 时 ， 即 可 在 命令 提示 符 下 通过 命令 与 参数 的 方式 执 
行 安装 额外 的 域 控制 器 ， 之 后 单 击 “ 下 一 步 ”按钮 开始 安装 Active Directory 域 服务 ， 如 图 
5-22 所 示 。 


etaalt-Pirst-siteiane 


要 事 改 选 需 ， 单 击 “ 上 一 步 ”* 要 开始 操作 ， 单 击 “ 下 一 步 ”。 


人 导出 设置 @ 


-oO[F-*o 习 9 | 
5-22 摘要 


(19) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 中 ， 显 示 “ 完 成 Active Directory 
域 服务 安装 向 导 ” 界 面 ， 这 代表 已 经 完成 Active Directory 域 服务 的 安装 ， 如 图 5-23 所 示 ， 
单 击 “ 完 成 ”按钮 ， 然 后 单 击 “立即 重新 启动 ”按钮 重新 启动 ， 以 完成 林 根 域 的 第 一 台 域 
控制 器 的 安装 。 
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芭 
| 到 
Bi 
Ee | 


图 5-23 ”安装 完成 


通过 上 述 步骤 , 在 名 为 Win2008sv1 的 计算 机 上 , 完成 了 安装 全 新 林 中 根 域 的 域 控制 器 。 


2. 建立 额外 的 域 控制 器 


在 Win2008sv2 计算 机 上 为 test.edu.cn 域 建立 额外 的 域 控制 器 , 与 建立 林 根 域 中 第 一 台 


域 控制 器 的 过 程 非常 类 似 ， 步 又 如 下 : 


(1) 以 系统 管理 员 帐 号 如 administrator 登录 Win2008sv2 计算 机 , 并 设置 其 TCP/IP 属性 。 


e 了 人 P 地 址 : 192.168.1.2; 

e 子 网 掩 码 : 255.255.255.0; 

e@ 网 关 : 192.168.1.1(Win2008sv1 的 卫 地 址 ); 

e@ DNS 服务 器 的 他 地 址 : 192.168.1.1(Win2008svl 的 下 地 址 )。 
(2) 参考 上 述 方法 建立 第 一 台 域 控制 器 中 的 步骤 (2)~(10) 的 操作 。 
(3) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “选择 某 


-部 署 配置 ”界面 中 ， 


选中 “ 现 有 林 ” 单 选 按钮 ， 再 选中 “向 现 有 域 添加 域 控制 器 ” 单 选 按钮 ， 然 后 单 击 “下 一 


步 ” 按 钮 ， 如 图 5-24 所 示 。 


选择 困 一 部 君 各 罗 | 
您 可 为 现 有 林 或 新 本 建 沽 控制 器 。 ED 


亚 下 省 生硬) 
他 向 现 有 域 法 加 域 控制 器 人 ) 


个 在 现 有 林 中 新 建 域 亿 ) 
此 服务 器 稳 成为 新 域 中 的 第 一 个 二 入 制 器 。 
三 新 半 吉 村 根 而 是 新 子 拭 人 D) 
个 在 新 林 中 亲 建 域 @) 


有 关 可 能 的 部 办 配置 的 i 妇 信息 


a 
图 5-24 选中 “ 现 有 林 ” 单 选 按钮 
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(4) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “网 络 凭据 "界面 ,输入 Administrator 


5 其 密码 ， 如 图 5-25 所 示 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 再 单 击 “ 下 一 步 ” 按 钮 。 
站 


Administrator 


[ 使 用 其 他 帐户 


Cm |] aa | 
图 5-25 Windows 安全 


(5) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “选择 域 ”界面 的 “ 域 ”列表 框 
中 选择 “test.edu.cn( 林 根 域 )” 选 项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 5-26 所 示 。 


| 
a 
为 该 茵 外 域 控制 器 选择 后 > 
域 员 ) 
四 
到 消 
图 5-26 选择 域 


(6) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “请 选择 一 个 站 点 ”界面 的 “站 点 ” 
列表 框 中 选择 “DefaultFirst-Site-Name” 选 项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-27 所 示 。 


请 达 择 一 个 站 点 
为 新 城 闪 制品 选 笃 一 个 法 点 > 


厂 信用 与 此 计 闫 术 


让 点 加 : 


bl 
图 5-27 选择 一 个 站 点 
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(7) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “其 他 域 控制 器 选项 ”界面 中 ， 
取消 选中 “DNS 服务 器 ”与 “全 局 编 录 ” 复 选 枉 ， 如 图 5-28 所 示 。 实 际 上 ， 如 果 考 虑 到 
DNS 服务 器 与 全 局 编 录 服务 器 的 容错 与 效率 因素 ， 也 可 以 考虑 将 它们 选中 。 而 “只 读 域 控 
制 器 (RODC)” 复 选 框 无 法 选中 ， 是 因为 安装 条 件 不 符合 


合 。 单 击 “ 下 一 步 ” 按 钮 。 


A TE | 


图 5-28 ”其 他 域 控制 器 选项 


(8) 在 “结构 主机 配置 冲突 ”对 话 框 中 ， 选 择 “将 结构 主机 角色 传送 到 此 域 控制 器 ” 
选项 ， 如 图 5-29 所 示 。 


| 


要 


图 5-29 结构 主机 配置 冲突 


(9) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 的 “从 介质 安装 ”界面 中 , 选中 “ 通 
过 网 络 从 现 有 域 控制 器 复制 数据 ” 单 选 按钮 。 让 安装 向 导 通 过 网 络 复制 现 有 域 控制 器 的 AD 
DS 数据 库 中 的 数据 时 可 以 降低 复制 的 流量 。 单 击 “ 下 一 步 ” 按 钮 ， 如 图 5-30 所 示 。 


只 介质 家 半 


二 
| ra 


二 天 AT 要 中 而 不遇 骸 2 淖 6 扫 了 6 


wa | 


图 5-30 ”从 介质 安装 
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(10) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 “ 源 域 控制 器 ”界面 的 “为 安装 伙 
伴 选择 源 域 控制 器 ”选项 组 中 选中 “让 向 导 选择 一 个 合适 的 域 控制 器 ” 单 选 按钮 ， 然 后 单 
击 “ 下 一 步 ”按钮 ， 如 图 5-31 所 示 。 


图 5-31 选择 合适 域 控制 器 


(11) 接 下 来 的 步骤 参考 之 前 的 安装 第 一 台 域 控制 器 中 的 第 (D) 一 (19) 步 的 操作 。 

(12) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 显示 如 图 5-32 所 示 的 界面 ， 说 明 
正在 安装 第 二 台 域 控制 器 , 需要 通过 网 络 与 test.edu.cn 域 中 的 现存 域 控 制 器 进行 AD DS 数 
据 库 的 复制 。 


了 安装 向 导 


话机 tiv 一 区 城 服 务 。 此 过 得 可 能 需要 几 分 钟 到 几 小 时 


正在 安装 组 弟 跑 管理 位 制 各. - 


5-32 向导 正在 配置 Active Directory 域 服务 


(13) 在 “Active Directory 域 服务 安装 向 导 ” 对 话 框 中 显示 “正在 完成 Active Directory 
域 服务 安装 向 导 ” 界 面 ， 这 代表 已 经 完成 Active Directory 域 服务 的 安装 ， 单 击 “ 完 成 ” 按 
钮 ， 然 后 单 击 “ 立 即 重新 启动 ”按钮 重新 启动 ， 以 完成 第 二 台 域 控制 器 的 安装 。 

完成 上 述 操作 步骤 后 ，testedu.cn 域内 已 经 有 了 Win2008sv1 和 Win2008sv2 两 台 域 控 
制 器 ， 如 图 5-33 所 示 。 这 两 个 区 域 控制 器 可 同时 提供 域 用 户 登录 域 时 身份 验证 的 工作 。 此 
外 ， 这 两 台 域 控制 器 都 有 一 个 可 读 写 入 的 AD DS 数据 库 ， 它 们 会 自动 执行 AD DS 数据 库 
复制 工作 ， 以 便 维持 目录 服务 数据 库 的 一 致 性 。 
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图 5-33 配置 完成 


5.2.3 ”删除 活动 目录 与 域 


将 活动 目录 从 域 控制 器 删除 之 前 需要 注意 以 下 事项 : 

(1) 如 果 域 内 还 有 其 他 域 控制 器 存在 ， 则 降级 后 这 人 台 机 器 会 成 为 该 域 的 成 员 服务 器 ， 
其 计算 机 帐户 会 被 从 组 织 单元 域 控制 器 转移 到 容器 computers 内 。 只 有 Domain Admins 或 
Enterprise Admins 组 内 的 成 员 才 有 权限 删除 域 控 制 器 。 

(2) 如 果 这 台 域 控制 器 是 域内 的 最 后 一 台 域 控制 器 ， 则 删除 域 控制 器 ， 同 时 testedu.cn 
域 也 会 被 删除 , 这 台 机 器 降级 后 会 变 成 一 台独 立 服务 器 或 者 是 工作 组 服务 器 。 只 有 Enterprise 
Admins 组 内 的 用 户 才能 有 权限 删除 最 后 一 个 域 控制 器 , 而 且 如 果 有 子 域 的 话 , 应 该 先 删除 
子 域 。 

(3) 如 果 删 除 的 是 林内 的 最 后 一 台 域 控制 器 ， 那 么 删除 域 控制 器 之 后 林 同 时 也 被 删除 。 
只 有 Enterprise Admins 组 内 的 用 户 才 有 权限 删除 。 

(4) 如 果 这 台 服 务 器 是 全 局 编 录 服务 器 (GC)， 则 要 检查 其 所 属 的 站 点 是 否 还 有 其 他 的 
GC, 若 没 有 , 需要 指定 一 台 域 控制 器 作为 GC。 依次 单 击 “ 开 始 ” 一 “管理 工具 ”一 “Active 
Directory 站 点 和 服务 ”一 “站 点 ”一 “default-first-site-name ”一 “服务 器 ”， 选 择 要 扮演 
GC 的 服务 器 ， 右 击 “NTDS 设置 ”， 从 弹出 的 快捷 菜单 选择 “属性 ”命令 ， 然 后 选择 “全 
局 编 录 ”。 

需要 注意 ， 删 除 活动 目录 、 脱 离 域 是 影响 服务 器 作用 的 首要 方法 ， 如 图 5-34 所 示 。 


加 入 到 域 
5-34 ”删除 活动 目录 、 脱 离 域 对 服务 器 作用 的 影响 


安装 好 的 域 控制 器 的 角色 是 可 以 更 改 的 ， 可 从 域 控制 器 上 删除 Active Directory， 使 其 
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作用 降级 ， 其 中 ， 删 除 域 中 最 后 一 个 域 控制 器 的 步骤 如 下 : 

(D 依次 单 击 “ 开 始 ” 一 “运行 ”， 在 打开 的 “运行 ”对 话 框 输入 dcpromo， 然 后 按 
Enter 键 。 

(2) 在 “欢迎 使 用 Active Directory 域 服务 安装 向 导 ” 界 面 上 ， 单 击 “ 下 一 步 ”按钮 。 

(3) 在 “删除 域 ”界面 上 ， 如 图 5-35 所 示 ， 选 择 包含 “删除 该 域 ” 字 样 的 选项 。 继 续 
之 前 ,如 果 必 要 , 先 阅读 有 关 管 理 删 除 加 密 密 钥 和 解密 使 用 加 密 文 件 系 统 (EFS) 加 密 的 文件 
说 明 ， 然 后 再 执行 这 些 操作 。 确 保 完成 了 所 有 安全 任务 之 后 ， 单 击 “ 下 一 步 ” 按 钮 。 


太 员 了 次 起 ,因为 此 骤 务 器 是 该 赋 中 的 最 后 一 个 二 控制 器 0) 


全 放风 本 sea 加 ve Tireetery 域 服务 后 , 域 


请 主意 。 所 有 用 户 和 计算 机 际 户 拖 捷 被 是 攻 > 
请 主意 ， 展 于 比 缠 和 所 有 计算 催 者 无 达 再 芝 世 到 此 域 蕉 访问 域 服务 * 


mn | 
图 5-35 ”删除 活动 目录 


(4) 如 果 该 域 控 制 器 具有 应 用 程序 目录 分 区 ， 则 在 “应 用 程序 目录 分 区 ”界面 上 ， 查 
看 列表 中 的 应 用 程序 目录 分 区 ， 然 后 按照 如 下 方式 删除 或 保留 应 用 程序 目录 分 区 : 
。 如 果 不 想 保留 存储 在 域 控制 器 上 的 任何 应 用 程序 目录 分 区 ， 单 击 “ 下 一 步 ”按钮 。 
e 如 果 想 保留 某 个 应 用 程序 已 经 在 域 控制 器 上 创建 的 任何 应 用 程序 目录 分 区 , 则 使 用 
创建 该 分 区 的 应 用 程序 将 其 移 除 到 另 一 个 域 控制 器 ， 然 后 单 击 “ 更 新 列表 ”以 更 新 
列表 。 
(5) 在 “确认 删除 ”界面 上 ， 选 择 删除 域 控制 器 上 所 有 应 用 程序 目录 分 区 的 选项 ， 然 
后 单 击 “ 下 一 步 ”按钮 。 
(9) 在 “删除 DNS 委派 ”界面 上 ， 确 认 选 中 了 “删除 指向 此 服务 器 的 DNS 委派 ” 复 
选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 
(7) 如 有 必要 , 为 承载 DNS 区 域 (其 中 包含 服务 器 的 DNS 委派 ) 的 服务 器 输入 管理 凭 
据 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
(8) 在 “网 络 凭据 ”界面 上 ， 按 实际 需要 进行 操作 。 
e 如 果 当 前 以 Enterprise Admins 成 员 的 身份 登录 ， 则 单 击 “ 下 一 步 ”按钮 。 
。 如 果 使 用 另 一 个 帐户 登录 , 则 单 击 “ 备 用 凭据 ”, 单 击 “ 设 置 ”, 输入 Enterprise Admins 
组 成 员 的 帐户 名 称 和 密码 ， 然 后 单 击 “ 下 一 步 ”按钮 。 
(9) 在 “管理 员 密码 ”界面 上 ， 为 本 地 Administrator 帐户 输入 安全 密码 并 确认 ， 然 后 
单 击 “ 下 一 步 ”按钮 。 
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(10) 在 “摘要 ”界面 上 ， 若 要 将 所 选择 的 设置 保存 到 可 用 来 自动 执行 以 后 的 活动 目录 
操作 的 答案 文件 ， 则 单 击 “ 导 出 设置 ”， 输 入 答案 文件 名 ， 然 后 单 击 “ 保 存 ” 按 钮 。 查 看 
选择 ， 然 后 单 击 “ 下 一 步 ”按钮 以 删除 活动 目录 。 

(11) 在 “完成 Active Directory 域 服务 安装 向 导 ” 界 面 上 ， 单 击 “ 完 成 ”按钮 。 

(12) 然后 ， 系 统 提示 是 否 重 新 启动 操作 系统 。 选 择 重新 启动 服务 器 ， 以 完成 对 活动 目 
录 的 删除 。 


5.3 ”用户 与 组 的 管理 


通过 建立 域 控制 器 实现 目录 管理 ( 即 活动 目录 )， 计 算 机 加 入 域 成 为 活动 目录 中 的 一 个 
计算 机 帐户 ， 但 如 要 获得 活动 目录 中 的 资源 ， 还 必须 在 活动 目录 数据 库 中 创建 用 户 帐 户 ， 
同时 为 帐户 设置 一 个 安全 的 密码 。 用 户 帐户 是 计算 机 的 基本 安全 手段 ， 计 算 机 通过 用 户 帐 
户 来 辨别 用 户 身 份 ， 让 有 使 用 权限 的 人 登录 计算 机 ， 访 问 本 地 计算 机 资源 或 从 网 络 访问 这 
台 计 算 机 的 共享 资源 。 

Windows Server 2008 支持 以 下 两 种 用 户 帐 户 : 域 帐户 和 本 地 帐户 。 

域 帐户 可 以 登录 到 域 上 ， 并 获得 访问 该 网 络 的 权限 ， 本 地 帐户 则 只 能 登录 到 一 台 特定 
的 计算 机 上 ， 并 访问 该 计算 机 上 的 资源 。Windows Server 2008 还 提供 内 置 用 户 帐户 ， 它 用 
于 执行 特定 的 管理 任务 或 使 用 户 能 够 访问 网 络 资源 。 

本 地 用 户 帐 户 仅 允 许 用户 登 录 并 访问 创建 该 帐户 的 计算 机 。 在 创建 本 地 用 户 帐户 时 ， 
Windows Server 2008 仅 在 计算 机 位 于 9%Systemroot%vsystem32\config 文件 夹 下 的 安全 数据 
库 (SAM) 中 创建 该 帐户 。 

Windows Server 2008 默认 只 有 Administrator 帐户 和 Guest 帐户 。Administrator 帐户 可 
以 执行 计算 机 管理 的 所 有 操作 ， 而 Guest 帐户 是 为 临时 访问 计算 机 的 用 户 而 设置 的 ， 但 默 
认 是 禁用 的 。 

用 户 登 录 后 ， 可 以 在 命令 提示 符 状 态 下 输入 “whoami /logonid” 命 令 查询 当前 用 户 帐 
户 的 安全 标识 符 ， 如 图 5-36 所 示 。 


icrosoft Windows 5.2.3798] 
kc》 版 权 所 有 1985; 2063 Microsoft Corp- 


:Documents and Settings \AdninistratorYwhoani /logonid 
-1-5-5-8-682895 


:Documents and Settings \Adninistrator>, 


图 5-36 查询 当前 用 户 帐户 的 安全 标识 符 


系统 的 内 置 帐户 Administrator 和 Guest 的 功能 权限 如 下 。 

e@ Administrator: 使 用 内 置 Administrator 帐户 可 以 对 整 台 计算 机 或 域 配置 进行 管理 ， 
如 创建 修改 用 户 帐 户 和 组 、 管 理 安全 策略 、 创 建 打印 机 、 分 配 允 许 用 户 访问 资源 的 
权限 等 。 作 为 管理 员 ， 应 该 创建 一 个 普通 用 户 帐户 ,在 执行 非 管理 任务 时 使 用 该 用 


第 5 章 活动 目录 服务 


be 


户 帐户 , 仅 在 执行 管理 任务 时 才 使 用 Administrator 帐户 。Administrator 帐户 可 以 更 
名 ， 但 不 可 以 删除 。 
e Guest: 一 般 的 临时 用 户 可 以 使 用 内 置 Guest 帐户 进行 登录 并 访问 资源 。 在 默认 情 
况 下 ， 为 了 保证 系统 的 安全 ，Guest 帐户 是 禁用 的 ， 但 在 安全 性 要 求 不 高 的 网 络 环 
境 中 ， 可 以 使 用 该 帐户 ， 且 通常 给 它 分 配 一 个 口令 。 
遵循 以 下 的 规则 和 约定 可 以 简化 帐户 创建 后 的 管理 工作 。 
(D 命名 约定 
@ 帐户 名 必须 唯一 : 本 地 帐户 必须 在 本 地 计算 机 上 唯一 。 


@ 帐户 名 不 能 包含 以 下 字符 : * 八 []::|= ， 


@ 帐户 名 最 长 不 能 超过 20 个 字符 。 

(2) 密码 原则 

@ 一 定 要 给 Administrator 帐户 指定 一 个 复杂 的 密码 ， 以 防止 他 人 随便 使 用 该 帐户 。 

@ 确定 是 管理 员 还 是 用 户 拥有 密码 的 控制 权 。 用 户 可 以 给 每 个 用 户 帐 户 指定 一 个 唯 
一 的 密码 , 并 防止 他 用 户 对 其 进行 更 改 , 也 可 以 允许 用 户 在 第 一 次 登录 时 输入 自己 的 密码 。 
一 般 情况 下 ， 用 户 应 该 可 以 控制 自己 的 密码 。 

@ 密码 最 多 可 由 128 个 字符 组 成 ， 推 荐 最 小 长 度 为 8 个 字符 。 

@ 密码 应 由 大 小 写字 母 、 数 字 以 及 合法 的 非 字母 数字 的 字符 混合 组 成 , 如 P@sswOrd。 

组 帐户 是 计算 机 的 基本 安全 手段 ， 用 户 帐 户 的 集合 。 组 帐户 并 不 能 用 于 登录 计算 机 ， 
但 可 以 用 于 组 织 用 户 帐户 。 通 过 使 用 组 ， 管 理 员 可 以 同时 向 一 组 用 户 分 配 权 限 ， 故 可 简化 
对 用 户 帐户 的 管理 。 

组 可 以 用 于 组 织 用 户 帐户 ， 让 用 户 继承 组 的 权限 ， 如 表 5-1 所 示 。 


Administrators 


Backup 
Operators 


/3 


表 5-1 内 置 组 的 帐户 的 权限 


描述 


该 组 的 成 员 具有 对 服务 器 的 完全 控制 权限 ， 并 
且 可 以 根据 需要 向 用 户 指派 用 户 权利 和 权限 。 
默认 成 员 有 Administrator 帐户 


该 组 的 成 员 可 以 备份 和 还 原 服务 器 上 的 文件 ， 
而 不 考虑 保护 这 些 文件 的 安全 设置 。 这 是 因为 
执行 备份 的 权限 优先 于 所 有 文件 的 使 用 权限 ， 
但 是 不 能 更 改 文件 的 安全 设置 


默认 用 户 权限 

从 网 络 访问 此 计算 机 ;， 人 允许 本 地 登录 ; 
调整 某 个 进程 的 内 存 配额 ; 允许 通过 终 
端 服务 登录 ; 备份 文件 和 目录 ; 更 改 系 
统 时 间 ; 调试 程序 ， 从 远程 系统 强制 关 
机 ; 加 载 和 种 载 设备 驱动 程序 ; 管理 审 
核 和 安全 日 志 ; 调整 系统 性 能 ; 关闭 系 
统 ; 取得 文件 或 其 他 对 和 象 的 所 有 权 


从 网 络 访问 此 计算 机 ; 允许 本 地 登录 ; 
备份 文件 和 目录 ; 忽略 遍历 检查 ; 还 原 
文件 和 目录 ; 关闭 系统 


Guests 


该 组 成 员 拥有 一 个 在 登录 时 创建 的 临时 配置 
文件 ， 在 注销 时 ， 该 配置 文件 将 被 删除 。 来 宾 
帐户 (默认 情况 下 禁用 ) 也 是 该 组 的 默认 成 员 


没有 默认 用 户 权限 
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5.3.1 本 地 用 户 和 组 


1. 本 地 用 户 的 创建 与 管理 


以 管理 员 帐 号 如 administrator 登录 计算 机 ， 可 以 用 “计算 机 管理 ”中 的 “本 地 用 户 和 
组 ”管理 单元 来 创建 本 地 用 户 帐户 ， 操 作 步 骤 如 下 : 

(1) 右 击 桌面 上 的 “计算 机 ”图 标 ， 选 择 “ 管 理 ” 一 “配置 ”一 “本 地 用 户 和 组 ”一 
“用 户 ” 命 令 ， 出 现 如 图 5-37 所 示 的 “服务 器 管理 器 ”窗口 。 

(2) 展开 “配置 ”、“ 本 地 用 户 和 组 ”， 右 击 “ 用 户 ”， 从 弹出 的 快捷 菜单 中 选择 “新 
用 户 ”命令 ， 如 图 5-38 所 示 。 


BEEEEE 


文件 9) 绍 作 0 豆 丰 Im。 部 助 00 
工 班 :IISIEIT TI 
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NT 控 | 
[Ee] 
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图 5-37 打开 “服务 器 管理 器 ”窗口 图 5-38 右 击 “ 用 户 ” 


(3) 打开 “新 用 户 ”对 话 框 后 ,输入 用 户 名 、 全 名 和 描述 信息 ， 并 输入 密码 ， 如 图 5-39 
所 示 , 更 改 密码 文本 框 下 面 的 4 个 属性 的 选择 状态 , 然后 单 击 “ 创 建 ” 按 钮 , 返回 如 图 5-37 
所 示 的 窗口 。 

EE 
RPS pu 


会 名 全 ) 
揣 述 四 ) FRR | 


EDL [ee60000960 
磅 认 亚 码 加) : [Eee99999999 


六 用 户 交 宁 和 TS 
厅 用 户 不 能 更 次 窗 码 E) 


密码 未 下 过 其 
rc 


者 助 中 CE ] _ 郑 由 
图 5-39 输入 用 户 信息 


用 户 帐户 还 具有 其 他 的 属性 ,如 用 户 隶 属 的 用 户 组 、 用 户 配置 文件 、 用 户 的 拨 入 权限 、 
终端 用 户 设置 等 。 在 “本 地 用 户 和 组 ”的 右 侧 栏 中 ， 双 击 一 个 用 户 ， 将 显示 该 用 户 的 属性 
对 话 框 ， 如 图 5-40 所 示 。 
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个 由 旦 叫 方 设置 (公路 由 和 运程 访问 服务) GE) 
所 总 是 加 扰 到 巴 


人 区 术 开 基 | 上 四 一 
和 HAXi 掉 让 有 的 卫 地 萌 坊 卫 基 下 加 | 


[应 用 项 态 路 由 @ 一 
为 此 找 入 连接 定义 要 语 用 的 路 由 > 1) 


取消 应 用 多 EE 
图 5-40 用 户 的 属性 对 话 框 
在 图 5-41 所 示 的 窗口 中 ， 右 击 任 一 用 户 帐 户 ， 从 弹出 的 快捷 菜单 中 可 重新 设置 密码 、 
删除 、 重 命名 等 。 
注意 : 
系统 内 置 帐户 如 Administrator、Guest 无 法 删除 。 
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5-41 删除 用 户 帐 户 


2. 本 地 组 的 创建 与 管理 

操作 步骤 如 下 : 

(1) 单 击 图 5-37 中 的 “组 ”， 可 以 查看 本 地 内 置 的 所 有 组 帐户 ， 如 图 5-42 所 示 ， 这 里 
将 以 下 将 要 建立 到 的 非 内 置 组 称 为 “用 户 组 ”。 
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5-42 本 地 内 置 的 所 有 组 帐户 


(2) 右 击 “组 ”选项 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 组 ”命令 ， 如 图 5-43 所 示 。 
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中 的 天 只 有 部 和 


去 村 二 81 全 所 
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图 5-43 右 击 “ 组 ” 


(3) 在 “新 建 组 ”对 话 框 中 输入 组 名 和 描述 ， 如 图 5-44 所 示 。 若 要 为 该 组 添加 成 员 用 
户 ， 依 次 单 击 “ 添 加 ”、“ 高 级 ”按钮 ， 打 开 如 图 5-45 所 示 的 “选择 用 户 ”对话 框 。 


成 员 明 : 
2 
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5-44 输入 组 信息 


(4) 单 击 “ 立 即 查找 ”按钮 ， 选 择 用 户 名 ， 如 jsj_ zhangxo， 单 击 “ 确 定 ” 按 钮 ， 返 回 
“选择 用 户 ” 对 话 框 ， 如 图 5-45 所 示 。 


第 5 章 活动 目录 服务 “155- 


图 5-45 ”查找 用 户 名 


(5) 在 如 图 5-46 所 示 的 对 话 框 中 单 击 “ 确 定 ” 按 钮 , 返回 “新 建 组 ”对 话 框 , 如 图 5-47 
所 示 。 


图 5-47 完成 组 的 创建 


(6) 在 “新 建 组 ”对 话 框 中 单 击 “ 创 建 ”按钮 ， 完 成 组 的 创建 ， 返 回 “ 服 务 器 管理 器 ” 
窗口 。 
(7) 在 返回 “服务 器 管理 器 ”窗口 中 ， 右 击 任 一 用 户 组 ， 利 用 弹出 的 快捷 菜单 ， 可 以 
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进行 删除 、 重 命名 、 更 改 属性 等 管理 操作 ， 如 图 5-48 所 示 。 每 个 组 都 拥有 一 个 唯一 的 安全 
标识 符 (SID)， 所 以 一 旦 删除 了 用 户 组 ， 就 不 能 重新 恢复 ， 即 使 新 建 一 个 与 被 删除 组 有 相同 
名 字 和 成 员 的 组 ， 也 不 会 与 被 删除 组 有 相同 的 特性 和 特权 。 
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图 5-48 管理 用 户 组 


管理 员 只 能 删除 新 增 的 组 ， 不 能 删除 系统 内 置 的 组 。 当 管理 员 删 除 系统 内 稼 组 时 ， 系 
统 将 拒绝 删除 操作 。 重 命名 组 的 操作 与 删除 组 的 操作 类 似 ， 只 需要 在 右键 弹出 菜单 中 选择 
“ 重 命 名 ”命令 ， 输 入 相应 的 名 称 后 按 回 车 键 即 可 。 

当 服 务 器 升级 为 域 控制 器 ， 则 该 服务 器 上 的 本 地 帐户 被 自动 转 为 域 用 户 帐户 ， 因 此 ， 
在 域 控制 器 中 不 存在 本 地 用 户 帐 户 。 


5.3.2 ” 域 用 户 帐户 


Active Directory 用 户 帐 户 和 计算 机 帐户 代表 物理 实体 ， 如 入 或 计算 机 。 用 户 帐户 也 可 
用 做 某 些 应 用 程序 的 专用 服务 帐户 。 用 户 帐 户 和 计算 机 帐户 以 及 组 也 称 为 安全 主体 。 安 全 
主体 是 被 自动 指派 了 安全 标识 符 (SID) 的 目录 对 象 。 用 户 或 计算 机 帐户 在 系统 中 可 以 用 于 以 
下 几 个 方面 

(1) 验证 用 户 或 计算 机 的 身份 ; 

(2) 授权 或 拒绝 访问 域 资源 ; 

(3) 管理 其 他 安全 主体 ; 

(4) 审核 使 用 用 户 或 计算 机 帐户 执行 的 操作 。 

组 是 用 户 和 计算 机 帐户 、 联 系 人 以 及 其 他 可 作为 单个 单元 管理 的 集合 ， 属 于 特定 组 的 
用 户 和 计算 机 称 为 组 成 员 。 组 都 有 一 个 作用 域 ， 用 来 确定 在 域 树 或 林 中 该 组 的 应 用 范围 。 
有 3 种 组 作用 域 : 通用 组 、 全 局 组 和 本 地 域 组 。 通 用 组 的 成 员 包括 域 树 或 林 中 任何 域 中 的 
其 他 组 和 帐户 ， 而 且 可 在 该 域 树 或 林 中 的 任何 域 中 指派 权限 。 全 局 组 的 成 员 包 括 组 定义 所 
在 域 中 的 其 他 组 和 帐户 ， 而 且 可 在 林 中 的 任何 域 中 为 组 的 成 员 帐 户 指派 权限 。 本 地 域 组 的 
成 员 可 包括 Windows Server 2008、Windows 2000 或 Windows NT 域 中 的 其 他 组 和 帐户 , 而 
且 只 能 在 域内 指派 权限 。 通过 对 Active Directory 中 的 组 进行 管理 ,可 以 实现 如 下 功能 : 简 
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化 管理 和 委派 管理 。 
1. “Active Directory 用 户 和 计算 机 ”管理 控制 台 简 介 
域 中 的 用 户 帐 户 、 组 、 组 织 单位 等 日 常 的 管理 工作 都 是 在 “Active Directory 用 户 和 计 


算 机 ”控制 台中 进行 的 ， 因 此 首先 来 介绍 一 下 它 的 基本 组 成 。 

选择 桌面 左下 角 的 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计 
算 机 ”( 或 直接 在 运行 框 中 输入 命令 dsa.msc), 打开 如 图 5-49 所 示 的 窗口 ,在 左边 树 形 结构 
窗 格 中 ，Windows Server 2008 一 旦 安装 Active Directory 服务 后 ， 默 认 产 生 多 种 容器 (当前 
默认 显示 在 控制 台中 有 5 种 )， 不 同 容器 保存 着 不 同类 型 的 对 象 。 


CI 
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图 5-49 “Active Directory 用 户 和 计算 机 ”窗口 


在 安装 过 程 中 Windows Server 2008 活动 目录 (AD) 中 自动 创建 了 4 种 内 置 的 组 ， 包 括 
内 置 本 地 域 组 、 内 署 全 局 组 、 内 署 通 用 组 和 特殊 组 。 这 些 内 署 的 组 不 能 改名 ， 也 不 允许 
删除 。 

(1) 内 署 本 地 域 组 

这 些 组 本 身 己 经 被 赋予 了 一 些 特殊 的 权利 与 权限 ， 以 便 让 这 些 组 的 成 员 具 备 管理 活动 
目录 的 能 力 。 只 要 将 用 户 帐 户 或 全 局 组 等 加 入 到 这 些 内 署 本 地 域 组 中 ， 那 么 这 些 用 户 帐 户 
或 全 局 组 的 帐户 将 从 本 地 域 组 中 继承 相应 的 权利 和 权限 。 


注意 : 
这 些 内 置 的 本 地 域 组 位 于 活动 目录 的 Builtin 组 织 单元 内 , 本 地 域 组 行使 权利 的 范围 仅 
限于 本 域 。 
e Account Operators( 用 户 帐 户 操作 组 ): 为 管理 员 组 分 配 的 许多 权限 都 划分 到 这 个 组 
内 。 组 的 成 员 可 以 在 “Active Directory 用 户 和 计算 机 ”内 创建 、 更 改 、 删 除 及 管理 
域内 的 用 户 帐户 与 组 、 重 新 设 定 密码 、 修 改 登录 时 间 、 修 改 配置 文件 和 登录 脚本 、 
解除 对 用 户 帐 户 的 锁定 、 对 用 户 进行 重 命名 。 
但 Account Operators 组 的 成 员 不 能 修改 、 删除 Administrators、Domain Admins、Server 
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Operators、Backup Operators 或 Printer Operators 这 些 Operators 组 的 属性 和 组 中 的 成 员 。 


Administrators( 管 理 员 组 ): 凡是 属于 此 Administrators 本 地 域 组 内 的 用 户 ， 具 有 系 
统管 理 员 的 权限 , 拥有 对 整个 域 控制 器 最 大 的 控制 权 ， 可 以 执行 活动 目录 的 管理 任 
务 ， 是 活动 目录 中 权力 仅 次 于 Enterprise Adminis 的 一 个 组 ， 内 置 的 系统 管理 员 帐 
户 Administrator 就 是 该 本 地 域 组 的 成 员 ， 而 且 不 能 从 该 组 中 删除 。 因 此 ， 必 须 避 免 
将 普通 用 户 加 入 到 该 组 中 。 默 认 包含 Administrator、Domain Admins、Enterprise 
Admins 组 。 

Backup Operators( 备 份 操作 员 组 ): 此 组 的 成 员 可 以 登录 DC( 域 控制 器 )， 无 论 对 要 
备份 的 文件 夹 或 文件 是 否 具有 访问 的 权限 ， 能 利用 Windows Server Backup 程序 来 
备份 或 还 原 域 控 制 器 内 的 文件 或 文件 夹 。 

Certificate Service DCOM Access: 分 布 式 组 件 访 问 证 书 颁发 组 。 允 许 此 组 的 成 员 连 
接 到 单位 或 部 门 中 的 证 书 颁发 机 构 。 

Cryptographic Operators: 组 中 的 授权 用 户 可 执行 加 密 操作 。 既 可 加 密 自己 的 文件 ， 
也 可 加 密 其 他 用 户 的 文件 。 

Distributed COM Users: 此 组 中 的 成 员 允 许 启动 、 激 活 和 使 用 此 计算 机 上 的 分 布 式 
COM 对 象 。 

Event Log Readers: 组 成 员 可 从 本 地 计算 机 读 取 事件 日 志 。 

Guests( 来 宾 组 ): 此 组 是 供 没有 用 户 帐户 而 需要 临时 访问 活动 目录 资源 的 临时 用 户 
使 用 。 此 组 默认 的 成 员 为 Guest、Domain Guests 等 。 

IIS IUSRS: Intemet 信息 服务 使 用 的 内 置 组 。 此 组 的 用 户 可 上 传 文件 ， 编 辑 网 页 。 
Incoming Forest Trust Builders( 创 建 林 信任 关系 组 );: 只 有 根 域 才 会 有 此 组 ， 此 组 的 
成 员 可 建立 与 另外 一 个 林 的 单 向 或 双向 信任 关系 。 

Network Configuration Operators( 网 络 配置 组 ): 此 组 的 成 员 可 在 域 控 制 器 上 执行 一 
般 的 网 络 设置 工作 ， 例 如 ， 更 改 瑟 地 址 等 TCP/IP 设置 等 ， 但 是 不 能 安装 或 删除 网 
络 硬件 的 驱动 程序 与 服务 , 也 不 能 执行 除 TCP/IP 外 与 网 络 服务 器 设置 有 关 的 任务 ， 
例如 ， 不 能 设置 DNS、DHCP 服务 器 。 

Performance Log Users( 性 能 日 志 访问 组 ): 此 组 的 成 员 可 以 从 远程 计算 机 上 访问 、 
设置 此 计算 机 上 的 性 能 计数 器 的 日 志 (查看 “性 能 ”中 的 性 能 日 志和 和 警报)， 以 便 从 
远程 计算 机 上 了 解 服务 器 状况 。 

了 Performance Monitor Users( 性 能 监控 组 ): 此 组 的 成 员 可 以 远程 访问 、 监 视 此 计算 机 
的 操作 (查看 “性 能 ”中 的 系统 监视 器 )， 以 便 从 远程 计算 机 上 了 解 或 设置 性 能 计 
数 器 。 

Pre-Windows 2000 Compatible Access( 与 Windows 2000 以 前 版 本 兼容 的 访问 组 ): 此 
组 的 成 员 是 Windows 2000 以 前 版 本 操作 系统 的 用 户 或 组 ， 允 许 此 组 的 成 员 访 问 
Windows 2000/2003/2008 活动 目录 中 的 资源 ， 设 置 该 组 主要 从 兼容 性 考虑 。 

Printer Operators( 打 印 组 ): 此 组 的 成 员 可 完全 控制 活动 目录 中 的 共享 打印 机 。 该 组 
对 打印 机 具有 完全 控制 的 权限 ， 即 可 设置 打印 机 的 属性 、 决 定 是 否 共享 打印 机 ， 而 


组 
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普通 用 户 默认 只 允许 使 用 打印 机 。 

Remote Desktop Users( 远 程 桌面 组 ): 该 组 的 成 员 可 以 远程 登录 、 访 问 桌面 系统 ， 像 
本 地 登录 用 户 那样 使 用 和 配置 计算 机 。 

Replicator( 复 制 组 ): 此 组 的 成 员 专门 用 来 执行 复制 目录 服务 时 使 用 (一 般 不 需要 向 
该 组 添加 实际 用 户 )。 单 独 一 个 域 时 此 组 为 空 ， 多 域 时 则 默认 登录 域 控制 器 的 用 户 
就 是 该 组 的 成 员 。 

Server Operators( 服 务 器 维护 组 ): 拥有 登录 域 控制 器 、 系 统 关 机 、 和 备份、 还原、 更 
改 系统 时 钟 、 从 远程 强制 关机 、 管 理 磁 盘 、 打 印 机 、 锁 定 与 解锁 域 控制 器 、 设 置 共 
享 文件 夹 等 功能 ， 但 不 能 改变 系统 安全 性 设置 ， 不 能 创建 帐户 和 组 ， 不 能 设置 
TCP/IP， 不 能 修改 主机 名 等 ， 主 要 负责 域 控制 器 的 管理 操作 。 

Terminal Server License Servers( 终 端 服务 授权 组 ): 终端 服务 许可 证 服务 器 ， 该 组 的 
用 户 允 许 设置 终端 服务 以 及 相关 的 授权 操作 。 

Users: 默认 的 普通 的 域 帐户 都 是 此 组 的 成 员 。 此 组 的 默认 成 员 为 Domain Users 全 
局 组 ， 在 默认 下 ， 创 建 的 普通 用 户 自动 加 入 该 组 。 

Windows Authorization Access Group: 该 组 的 成 员 可 以 访问 User 对 象 上 的 计算 机 
的 tokenGroupsGlobalAndUniversal 属性 。 

Allowed RODC Password Replication Group: 允许 组 的 成 员 将 此 组 成 员 的 密码 复制 
到 域 中 所 有 的 只 读 域 控制 器 中 。 

Cert Publishers: Windows Server 2008 专门 为 活动 目录 提供 认证 服务 和 办 理 代理 服 
务 的 组 。 其 成 员 可 设置 数据 恢复 代理 、 颁 发 证 书 等 代理 服务 。 主 要 针对 系统 的 一 些 
服务 ， 如 DHCP、DNS、Web、E-Mail 的 访问 许可 证 书 的 颁发 。 

Denied RODC Password Replication Group: 不 允许 此 组 的 成 员 将 此 组 成 员 的 密码 复 
制 到 域 中 所 有 的 只 读 域 控制 器 中 。 

DHCP Administrator: DHCP 管理 员 组 ， 此 组 的 成 员 可 设置 DHCP 服务 器 。 

DHCP user: 所 有 自动 获取 IP 地 址 的 用 户 都 是 此 组 的 成 员 。 当 安装 了 DHCP 服务 
器 后 ， 就 有 它 和 下 面 的 DHCP Administrator 组 。 

DnsAdmins: DNS 管理 员 组 ， 可 设置 DNS 服务 器 。 

RAS and IAS Servers: 这 个 组 中 的 服务 器 是 为 远程 访问 服务 或 Intermet 接 入 服务 提 
供 远程 访问 或 接 入 服务 的 计算 机 ， 域 中 所 有 远程 访问 服务 器 都 是 该 组 的 成 员 ,可 添 
加 或 删除 。RAS 为 远程 访问 服务 的 缩写 ，IAS 为 ntemet 接 入 服务 的 缩写 。 


(2) 内 置 全 局 组 

这 些 组 本 身 没有 任何 权利 与 权限 ,但 是 可 以 通过 将 其 加 入 到 具备 权利 或 权限 的 本 地 域 
或 者 直接 给 这 些 全 局 组 或 通用 组 指派 权利 或 权限 。 这 些 内 置 的 全 局 组 位 于 Users 容器 
内 ， 常 用 的 有 : 


DnsUpdateProxy: 此 组 的 成 员 具 有 在 DHCP 服务 器 上 代替 DHCP 客户 端 更 新 DNS 
资源 记录 的 权限 。 将 经 过 授权 的 DHCP 服务 器 加 入 到 该 组 ， 则 当 某 DHCP 服务 器 
发 生 故 障 时 ， 可 由 该 组 的 其 他 DHCP 服务 器 更 新 。 该 组 仅 存在 于 活动 目录 中 ， 可 
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向 该 组 添加 DHCP 计算 机 帐户 ， 添 加 用 户 帐户 则 没有 意义 。 

Domain Admins: 域 管理 员 组 , 此 组 自动 加 入 Administrators 本 地 域 组 内 , 因此 Domain 
Admins 这 个 全 局 组 内 的 每 个 成 员 也 都 具备 域 管理 员 的 权限 ， 此 组 默认 的 成 员 为 
Administrator。 


如 果 要 使 某 个 用 户 具有 某 域 管理 员 权限 来 协助 系统 管理 员 管理 该 域 ， 最 好 将 这 个 用 户 
加 入 Domain Admins 全 局 组 ， 而 不 要 加 入 Administrators 本 地 域 组 内 ， 因 为 根据 全 局 组 的 
性 质 ，Domain Admins 全 局 组 不 仅 可 以 被 加 入 到 本 域 的 其 他 本 地 域 组 ， 还 可 以 加 入 到 其 他 
域内 的 本 地 域 组 和 通用 组 ,而 Administrators 组 只 能 够 被 加 入 到 同一 个 域内 的 其 他 本 地 域 组 
内 。 可 通过 查看 组 属性 的 “成 员 ” 和 “隶属 于 ”来 印证 。 


Domain Computers: 域 计算 机 组 。 所 有 加 入 域 的 计算 机 帐户 都 是 这 个 组 的 成 员 。 
Domain Controllers: 域 控制 器 组 。 域 中 所 有 的 域 控制 器 都 是 这 个 组 的 成 员 ( 主 域 控 
制 器 和 额外 域 控制 器 ， 不 包括 父 域 及 子 域 )。 

Domain Guests: 域 来 宾 全 局 组 。Domain Guests 自动 加 入 Guests 本 地 域 组 内 。 而 
Domain Guests 默认 的 成 员 为 Guest， 开 启 Guest， 任 意 用 户 都 可 以 持 Guest 来 宾 帐 
号 访问 域 。 

Domain Users: 域 用 户 组 。 此 组 自动 加 入 Users 本 地 域 组 内 。 此 组 默认 的 成 员 为 
Administrator， 而 以 后 所 有 添加 的 域 用 户 帐户 都 自动 属于 此 Domain Users 全 局 组 。 
Group Policy Creator Owners: 此 组 的 成 员 可 修改 域 或 组 织 单元 的 组 策略 ,但 不 能 创 
建 和 删除 域 或 组 织 单元 的 策略 。 

Read-only Domain Controllers: 此 组 的 成 员 是 域 中 只 读 域 控制 器 。 


(3) 内 置 通用 组 


Enterprise Admins: 企业 管理 员 组 ， 如 果 希 望 某 个 用 户 具备 管理 整个 活动 目录 的 权 
利 ， 则 可 以 将 此 用 户 的 帐户 加 入 到 Enterprise Admins 通用 组 中 , 系统 自动 把 此 组 加 
入 到 每 个 域 的 Administrators 本 地 域 组 内 ， 所 以 Enterprise Admins 组 的 成 员 就 可 以 
管理 活动 目录 中 的 所 有 域 。 此 组 默认 的 成 员 为 Administrator， 企 业 管 理 员 组 只 存在 
于 根 域 (整个 活动 目录 中 仅 有 一 个 ), 根 域 的 系统 管理 员 是 这 个 组 的 成 员 (也 是 各 域 的 
域 管理 员 组 Domain Admins 的 成 员 )， 其 组 内 的 成 员 可 登录 任何 域 控制 器 ， 而 其 他 
域 的 系统 管理 员 是 不 能 登录 活动 目录 中 其 他 域 控制 器 的 。 

Enterprise Admins Only-read Domain Controllers: 该 组 的 成 员 是 根 域 的 只 读 域 控制 器 。 
Schema Admins: 架构 管理 员 组 ， 本 组 的 成 员 可 改变 域 林 的 结构 ， 包 括 改变 全 局 编 
录 的 存储 对 象 及 属性 。 在 默认 情况 下 ， 该 组 唯一 的 成 员 是 根 域 域 控制 器 上 的 系统 管 
理 员 。 


(4) 特殊 组 

在 “计算 机 管理 ”或 “Active Directory 用 户 和 计算 机 ”的 Builtin 和 User 之 外 ， 还 有 
多 个 中 没有 出 现 的 系统 组 ， 这 些 组 只 有 在 给 资源 分 配 权限 、 设 置 权 利 时 才能 在 ACL( 访 问 
控制 列表 ) 中 看 到 ,组 中 成 员 是 隐 含 的 ， 表示 可 访问 资源 的 一 类 用 户 。 这 些 系 统 组 与 权限 的 
关系 ， 在 第 2.2 节 的 “NTFS 权限 ”中 已 有 介绍 。 
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e@ Everyone: 每 人 组 。 凡 是 访问 域 (针对 活动 目录 ) 或 本 地 计算 机 (独立 服务 器 、 成 员 服 
务 器 、 工 作 站 ) 的 所 有 用 户 ， 都 属于 这 个 组 。 包 括 合法 域 用 户 、 通 过 “网 上 邻居 ?” 
或 “网 络 ”访问 的 用 户 、Guests 组 等 。 例 如 ， 默 认 情 况 下 ， 硬 盘 、 所 有 文件 夹 和 文 
件 是 允许 Everyone 访问 的 。Windows Server 2003/2008 中 匿名 用 户 anonymous 不 属 
于 该 组 (Windows 2000 Server 属于 该 组 )。 

在 Windows Server 2003/2008 中 ，Everyone 组 包括 Authenticated、Users + Guest。 在 更 

早期 的 操作 系统 版 本 中 ,Everyone 组 包括 Authenticated、Users、Guest、Anonymous Logon。 

e anuthenticated Users: 所 有 经 过 域 控制 器 身份 验证 、 不 管 是 本 地 登录 还 是 网 络 登录 的 
合法 用 户 ， 都 属于 此 组 。 有 时 ， 为 了 安全 起 见 ， 在 设置 资源 的 访问 权限 时 ， 使 用 
Authenticated Users 组 而 不 要 用 Everyone 组 。 

e interactive: 交互 组 。 任 何在 本 地 登录 的 用 户 (不 是 从 “网 上 邻居 ”登录 )， 都 属于 这 
个 组 。 与 之 对 应 的 是 network。 

e。 network: 网 络 登录 组 。 任何 通 过 网 络 连接 计算 机 的 用 户 ( 即 通 过 “网 上 邻居 ”、“ 远 
程 登录 ”、“ 远 程 桌 面 ”、“ 远 程 协助 ”登录 )， 都 属于 这 个 组 。 这 个 组 与 interactive 
组 对 应 。 

ecreator Owner: 创建 所 有 者 组 。 包 括 创建 对 象 或 取得 对 象 所 有 权 的 用 户 帐 户 , 例如 ， 
文件 夹 、 文 件 或 打印 文件 等 资源 的 建立 者 ， 就 是 此 资源 的 Creator Owner( 建 立 者 / 
所 有 者 组 )。 

e Anonymous Logon: 匿名 登录 组 。 不 需 经 过 Windows Server 2008 身份 认证 即 可 登 
录 的 用 户 ， 都 属于 这 个 组 。 例 如 ， 不 必 输 入 用 户 名 和 密码 就 可 浏览 Web 站 点 的 用 
户 和 下 载 文件 的 匿名 FTP 用 户 。 

e Dialup: 拨号 连接 组 。 任 何 利用 拨号 方式 连接 域 的 用 户 ， 都 属于 这 个 组 。 

内 置 系 统 组 还 有 很 多 ， 一 般 不 常用 。 


2. 域 用 户 帐户 和 组 的 创建 及 属性 设置 


(1) 为 域 用 户 创建 帐户 
在 域 的 用 户 管理 中 ， 对 帐户 具有 添加 、 修 改 、 删 除 等 管理 权限 的 用 户 或 组 如 下 : 
系统 管理 员 
Administrators 组 的 成 员 
Domain Admins 组 
Enterprise Admins 组 
Account Operators 组 的 成 员 

建立 域 帐户 的 步骤 如 下 : 

人 @ 选择 桌面 左下 角 的 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ” 
命令 ， 打 开 如 图 5-50 所 示 的 窗口 ， 单 击 域名 testedu.cn 左 侧 的 “+” 号 ， 右 击 Users 选项 ， 
在 弹出 的 快捷 菜单 中 依次 选择 “新 建 ” 一 “用 户 ” 命 令 。 
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图 5-50 ”打开 新 建 用 户 帐 户 


@ 在 如 图 5-51 所 示 的 对 话 框 中 ， 输 入 姓 、 名 ， 用 户 登录 名 。 
本 
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图 5-51 输入 姓 、 名 ， 用 户 登 录 名 


@ 用 户 登 录 名 即 帐户 名 称 ， 一 般 不 超过 20 个 字符 ， 最 好 不 用 中 文 。 帐 户 名 与 前 面 输 
入 的 “ 姓 ”、“ 名 ”或 “姓名 ”可 以 相同 ， 也 可 以 不 同 ， 用 于 显示 的 帐户 名 称 最 好 是 实际 
的 名 称 ， 便 于 查询 。 

@ 单 击 图 5-51 中 的 “下 一 步 ”按钮 ， 打 开 如 图 5-52 所 示 的 界面 ， 输 入 密码 ， 根 据 需 
要 选择 帐户 属性 的 4 个 复 选 框 。 默 认输 入 的 密码 要 求 具有 一 定 的 复杂 性 ， 即 大 写字 母 、 小 
写字 母 、 数 字 以 及 其 他 字符 ， 并 且 不 能 与 帐户 名 一 样 ， 不 能 包含 用 户 姓名 ， 超 过 连续 两 个 
字符 。 
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上 -上 四 [sm 引 a | 
图 5-52 输入 密码 、 选 择 帐户 属性 


图 单 击 “ 下 一 步 ”按钮 ， 然 后 单 击 “ 完 成 ”按钮 ， 完 成 域 用 户 的 创建 ， 返 回 图 5-53 
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所 示 的 窗口 ， 右 击 帐户 对 应 的 用 户 姓 名 ， 可 以 对 帐户 进行 删除 、 重 命名 、 属 性 更 改 等 管理 
操作 。 


图 $-53 ” 域 帐户 的 管理 


若 选择 “属性 ”命令 ， 在 打开 的 如 图 5-54 所 示 的 对 话 框 中 ， 打 开 “ 帐 户 ”选项 卡 ， 
单 击 “登录 时 间 ” 按 钮 ， 设 置 帐户 登录 域 的 时 间 。 
ETEEEsssssss 一 
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5-54 ”设置 帐户 登录 域 的 时 间 


@ 所 建立 的 域 用 户 帐户 ， 可 以 在 成 员 服务 器 或 工作 站 计算 机 上 登录 活动 目录 ， 但 是 
却 不 能 在 域 控制 器 登录 ， 否 则 将 出 现 提示 : “系统 不 允许 采用 交互 式 登录 ”， 除 非 帐 户 被 
授予 “本 地 登录 ”的 特权 (在 域 控制 器 安全 策略 中 的 “安全 设置 ”一 “本 地 策略 ”一 “用 户 
权限 分 配 ” 中 指派 ) 或 被 加 入 具有 登录 域 控制 器 权限 的 组 中 ， 像 Administrators、Server 
Operators、Account Operators、Enterprise Admins、Domain Admins 组 ， 系 统管 理 员 不 要 轻 
易 让 普通 用 户 登录 域 控制 器 。 

(2) 为 域 用 户 的 帐户 创建 组 

建立 域 帐户 组 的 步骤 如 下 : 


“164 。 Windows Server 2008 系统 管理 


@ 在 如 图 5-55 所 示 的 窗口 中 ， 右 击 Users 选项 ， 依 次 选择 “新 建 ” 一 “组 ”命令 ， 
打开 如 图 5-56 所 示 的 对 话 框 ， 输 入 组 名 ， 选 择 组 的 作用 域 和 类 型 。 
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图 5-55 ”新建 域 用 户 帐户 组 图 5-56 输入 组 信息 、 选 择 组 的 作用 域 和 类 型 


@ 单 击 “ 确 定 ”按钮 ， 完 成 组 的 创建 ， 返 回 图 5-57 所 示 的 窗口 。 右 击 组 名 ， 利 用 弹 
出 的 快捷 菜单 ， 可 对 该 组 进行 删除 、 重 命名 、 修 改组 属性 等 管理 工作 。 


5-57 管理 组 


@ 在 如 图 5-57 所 示 的 快捷 菜单 中 选择 “属性 ”命令 ,将 打开 的 对 话 框 切 换 至 “成 员 ” 
选项 卡 ， 单 击 “ 添 加 ”按钮 ， 接 着 单 击 “ 高 级 ”按钮 ， 如 图 5-58 所 示 。 
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图 5-58 添加 组 的 成 员 帐 户 
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行 “、 


立即 查找 ”按钮 ， 拖 动 垂直 滚动 条 浏览 帐户 ， 选 择 欲 添加 的 成 员 帐户 ， 如 
图 5-59 所 示 ， 单 击 “确定 ”按钮 。 
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图 5-59 ”浏览 选择 欲 添加 的 成 员 帐 户 
@ 返回 如 图 5-60 所 示 的 界面 ， 单 击 “ 确 定 ”按钮 ， 完 成 成 员 帐 户 的 添加 。 
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5-60 ”添加 组 的 成 员 帐 户 


按照 以 上 操作 过 程 ， 为 该 组 添加 其 他 帐户 ， 建 立 其 他 所 需 的 帐户 、 组 ， 并 将 每 个 帐户 
加 入 所 属 的 组 中 。 
5.3.3 ”组 织 单位 


1. 概述 


在 Windows NT 时 代 ， 域 (Domain) 是 组 织 和 管理 网 络 的 最 小 单位 。 倘 若 单位 不 同 的 部 
门 有 不 同 的 安全 需求 与 管理 方式 ， 有 些 部 门 也 许 只 有 几 个 人 ， 如 和 信 事 部 ， 若 每 个 域 至 少 要 
有 一 台 域 控制 器 ， 还 要 有 域 管理 员 ， 不 仅 增加 了 费用 的 支出 和 人 力 的 占用 ， 而 且 由 于 域 之 
间 要 进行 目录 数据 复制 ( 域 控制 器 到 域 控制 器 ， 域 控制 器 到 全 局 编 录 服务 器 )， 加 大 了 网 络 
流量 。 因 此 往往 需 将 整个 单位 划分 成 多 个 域 ， 可 是 这 种 多 域 的 架构 ， 会 增加 管理 负担 。 
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为 了 解决 这 类 问题 ， 微 软 公司 在 域 中 增加 了 组 织 单位 (或 组 织 单元 ) 这 种 对 象 ， 使 得 整 
个 域 的 规划 与 管理 更 有 弹性 ， 能 发 挥 “ 分 层 负责 、 授 权 管 理 ” 的 优点 。 


2. 特点 


e 不 设 组 织 单元 的 服务 器 和 管理 员 ， 降 低 了 目录 管理 的 复杂 性 和 成 本 。 
e 可 以 对 其 进行 委派 和 设置 组 策略 ， 即 组 织 单元 是 委派 控制 、 设 置 组 策略 的 最 小 应 用 
单元 。 

e 默认 组 织 单元 不 属于 安全 体系 范畴 ， 不 能 为 组 织 单元 设置 安全 选项 或 分 配 权限 。 

e 组 织 单元 可 包含 多 种 对 象 ， 也 可 多 层 嵌 套 ， 其 中 的 对 象 可 在 组 织 单元 中 随意 迁移 。 

3. 创建 组 织 单位 

能 包含 其 他 对 象 的 对 象 便 称 为 容器 (ContaineD 。 组 织 单位 是 一 种 容器 ， 它 可 以 包含 以 
下 9 种 对 象 : 用户、 计算 机 、 组 .打印 机 、 共 享 文件 夹 . 联 络 人 、 其 他 组 织 单位 ,InetOrgPerson、 
MSMQ 路 由 别名 。 可 以 基于 地 理 位 置 、 功 能 、 组 织 或 它们 的 结合 ,对 组 织 单位 进行 划分 (如 
图 5-61 所 示 )。 
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图 5-61 常见 的 组 织 单位 规划 模式 


注意 : 
组 织 单位 仅 能 包含 同 域内 的 对 象 , 不 能 包含 其 他 域 的 对 象 。 


组 织 单位 与 组 (Group) 都 应 用 在 域 的 逻辑 架构 中 ， 但 在 使 用 上 有 以 下 差异 : 

e 一 个 用 户 可 以 隶属 于 多 个 组 ， 但 是 只 能 隶属 于 一 个 组 织 单位 。 

e 组 织 单位 可 以 包含 组 ， 但 是 组 不 能 包含 组 织 单位 。 

e 网 络 资源 (例如 ， 文 件 夹 或 打印 机 ) 的 权限 可 以 赋予 组 ， 但 是 不 能 赋予 组 织 单位 。 

组 织 单位 的 建立 步骤 如 下 : 

(D 单 击 桌面 左下 角 的 “开始 ”按钮 ， 选择 “程序 ”一 “管理 工具 ”一 “Active Directory 
用 户 和 计算 机 ”命令 ， 打 开 相 应 的 窗口 ， 如 图 5-62 所 示 ， 右 击 域名 test.edu.cn， 从 弹出 的 
快捷 菜单 中 选择 “新 建 ” 一 “组 织 单位 ”命令 ， 弹 出 如 图 5-63 所 示 的 对 话 框 。 
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图 5-62 新 建 组 织 单位 
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图 5-63 录入 组 织 单位 名 称 


(2) 输入 组 织 单元 的 名 称 。 组 织 单元 名 称 可 以 包含 中 文 , 但 最 长 为 64 个 字符 。 单 击 “ 确 
定 ” 按 钮 完成 创建 。 
(3) 建立 其 他 需要 的 组 织 单位 ， 如 图 5-64 所 示 。 
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图 5-64 ”建立 其 他 需要 的 组 织 单位 


4. 建立 、 管 理 组 织 单位 的 成 员 


建立 、 管 理 组 织 单位 的 成 员 的 步骤 如 下 : 
(1) 添加 域 用 户 帐户 。 如 图 5-65 所 示 , 右 击 某 组 织 单位 , 从 弹出 的 快捷 菜单 中 选择 “新 
建 ”一 “用 户 ”命令 ， 按 照 建立 帐户 的 过 程 创建 组 织 单位 的 用 户 帐户 。 
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图 5-65 为 组 织 单位 新 建 用户 帐 户 


(2) 添加 域 用 户 的 帐户 组 。 如 图 5-66 所 示 ， 单 击 Users 选项 ， 右 击 域 中 某 用 户 帐 户 组 ， 
从 弹出 的 快捷 菜单 中 选择 “移动 ”命令 ， 弹 出 如 图 5-67 所 示 的 对 话 框 。 


图 A ive Direetory 用 户 和 计算 机 


文件 中 操作 届 宣 看 MW 怖 助 o 


图 5-67 选择 组 织 单位 


(3) 选择 某 组 织 单位 ， 单 击 “确定 ”按钮 完成 添加 。 
(4) 添加 计算 机 帐户 。 在 图 5-65 中 选择 “新 建 ” 一 “计算 机 ”命令 ， 弹 出 如 图 5-68 
所 示 的 对 话 框 ， 输 入 计算 机 名 称 ， 单 击 “ 确 定 ”按钮 ， 完 成 向 组 织 单位 内 添加 计算 机 帐户 。 


第 5 章 活动 目录 服务 “169 


EE 闻 
测量 本 ec 


计算 矶 称 
aged 

计划 机 各 inaoes zo 电 前 所 本 ) CC 

[rm 

下 双阳 户 革 沁 可 以 拘 此 计算 天 加 入 到 

用 P 吕 组 op: 

ie 歌唱 


厂 由 六 计 各 机 椒 户 人 要 为 Tintovs zo 以 前 乒 下 的 计算 讽 


LE |_| 
图 5-68 ”向 组 织 单位 内 添加 计算 机 帐户 


(5) 右 击 某 个 组 织 单位 ， 弹 出 快捷 菜单 ， 可 以 进行 删除 、 重 命名 、 属 性 更 改 等 管理 操作 。 


5.4 计算 机 加 入 、 脱 离 域 


安装 有 Windows 的 计算 机 加 入 域 后 可 作为 成 员 服务 器 或 工作 站 。 

独立 服务 器 是 指 安装 了 Windows Server 的 计算 机 ， 独 立 服务 器 一 旦 加 入 域 后 ， 即 可 被 
配置 成 不 同 用 途 的 专业 服务 器 ， 按 其 提供 的 服务 的 不 同 ， 冠 以 不 同 的 名 字 ， 例 如 : FTP 文 
件 服务 器 、 打 印 服务 器 、 数 据 库 服务 器 、Web 服务 器 、 新 闻 服 务 器 、 多 媒体 服务 器 等 ， 这 
些 具 有 一 定 特殊 功能 的 服务 器 称 为 成 员 服务 器 。 

成 员 服务 器 仍 保留 本 地 帐户 数据 库 ， 因 此 用 户 也 可 以 利用 这 些 本 地 帐户 登录 这 些 服务 
器 ， 即 登录 时 即 可 以 选择 是 登录 本 地 还 是 登录 域 。 

在 域 中 除了 域 控制 器 、 成 员 服务 器 外 ， 任 何 加 入 域 的 计算 机 都 被 称 作 工 作 站 ， 或 称 域 
控制 器 的 客户 端 ， 它 们 同时 也 可 以 是 成 员 服 务 器 的 客户 端 ， 加 入 域 本 质 上 是 在 域 控制 器 上 
创建 计算 机 帐户 。 从 域 控制 器 的 Active Directory 用 户 和 计算 机 的 Computers 容器 中 可 看 到 
所 有 加 入 本 域 的 计算 机 帐户 。 当 计算 机 加 入 域 而 成 为 工作 站 后 , 用 户 可 在 工作 站 上 登录 域 ， 
访问 域 的 资源 。 工 作 站 由 域 控制 器 负责 用 户 身份 验证 。 例 如 : 域 系统 管理 员 可 以 限制 谁 何 
时 从 工作 站 登录 到 活动 目录 。 工 作 站 上 保存 本 地 帐户 数据 ， 用 户 也 可 以 利用 这 些 本 地 帐户 
登录 工作 站 ， 访 问 本 地 资源 。 充 当 工 作 站 的 操作 系统 可 以 是 Windows 98/2000/XP/2003/ 
Vista/2008/7。 


加 入 域 的 计算 机 先 要 配置 到 域 控制 器 的 通信 连接 ， 并 且 配 置 的 DNS 服务 器 地 址 与 域 
控制 器 需 一 致 。 


5.4.1 加 入 域 


登录 要 加 入 域 的 成 员 计算 机 时 ， 一 定 要 用 本 地 系统 管理 员 的 身份 登录 。 计 算 机 加 入 域 
的 步骤 如 下 : 
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(1) 以 系统 管理 员 身份 如 administrator 帐户 登录 本 地 计算 机 , 如 图 5-69 所 示 , 右 击 “ 我 


的 电脑 ”， 选 择 “ 属 性 ”命令 ,打开 “系统 属性 ”对 话 框 ， 切 换 到 “计算 机 名 ”选项 卡 ， 
单 击 “ 更 改 ” 按 钮 。 
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图 5-69 “系统 属性 ”对 话 框 


(2) 弹出 如 图 5-70 所 示 的 对 话 框 ， 选 中 “ 域 ” 单 选 按钮 ， 输 入 要 加 入 的 域名 ， 如 test 
或 testedu.cn， 单 击 “确定 ”按钮 。 
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图 5-70 输入 域名 


(3) 系统 找到 DNS 服务 器 后 ， 根 据 服务 资源 记录 ， 找 到 域 控制 器 


， 域 控制 器 要 求 输入 
具有 管理 员 权 限 的 帐户 名 及 密码 ， 如 Administrator， 如 图 5-71 所 示 。 


5-71 ”输入 域 控制 器 的 管理 员 帐 户 名 及 密码 
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(4) 当 申 请 加 入 域 得 到 验证 认可 后 ， 显 示 “ 欢 迎 加 入 test 域 ”或 “欢迎 加 入 testedu.cn 
域 ”, 如 图 5-72 所 示 , 重新 启动 计算 机 后 生效 , 计算 机 的 名 称 默认 会 出 现在 “Active Directory 
用 户 和 计算 机 ”窗口 的 Computres 容器 中 ， 这 个 容器 专门 存放 加 入 域 的 计算 机 帐户 。 


计算 机 名 更 改 加 


i) 欢迎 加 入 test 域 。 


CC 要 
图 5-72 欢迎 加 入 域 


域 中 的 计算 机 虽然 只 有 帐户 ， 没 有 密码 ， 但 当 系统 管理 员 将 某 计算 机 加 入 域 后 ， 域 控 
制 器 与 计算 机 之 间 会 自动 建立 一 把 相同 的 密 钥 ， 域 中 的 计算 机 各 自 都 有 与 域 控制 器 共享 的 


5.4.2 ”登录 域 


当 计 算 机 加 入 域 后 ,用户 启动 计算 机 登录 域 时 ,可 选择 从 本 地 登录 , 也 可 以 登录 到 域 ， 
在 多 域 环 境 下 ， 可 以 访问 任何 域 的 资源 。 首 先 选择 “登录 到 ”后 面 的 本 机 或 域 ， 然 后 输入 
本 机 的 用 户 名 、 密 码 ， 或 域 管理 员 分 配 的 域 用 户 名 、 密 码 ， 登 录 到 本 地 主机 或 域 。 

查看 、 使 用 域 资源 的 一 个 方法 是 : 选择 “网 上 邻居 ”一 “整个 网 络 ” 一 Microsoft Windows 
Network 一 欲 访 问 的 计算 机 、 资源 名 称 , 即 可 在 授权 范围 内 访问 域 中 资源 。 在 成 员 计算 机 上 ， 
各 个 域 的 域 用 户 都 可 以 通过 活动 目录 中 某 个 工作 站 登录 到 域 中 。 

没有 加 入 域 的 计算 机 (域外 计算 机 ) 即 以 工作 组 方式 运行 ， 这 些 计算 机 的 帐户 安全 性 设 
置 都 由 本 地 自行 管理 。 如 果 要 通过 “网 上 邻居 ”或 “网 络 ”访问 域 中 的 计算 机 ， 双 击 某 一 
计算 机 图 标 时 ， 出 现 登 录 对 话 框 ， 输 入 域 帐户 登录 名 和 密码 ， 才 可 访问 共享 文件 来 。 而 加 
入 域 的 用 户 则 不 需 输 入 登录 名 称 和 密码 。 

加 入 域 的 计算 机 与 域外 计算 机 访问 活动 目录 资源 ， 对 于 单个 域 优势 并 不 明显 ， 但 对 于 
多 域 环境 来 说 ， 一 次 登录 就 可 访问 活动 目录 中 所 有 域 中 有 权 访 问 的 资源 。 一 次 登录 也 叫 单 
点 登录 ， 或 交互 登录 ， 区 别 于 二 次 登录 ， 从 网 络 访问 共享 资源 属于 二 次 登录 。 而 从 工作 站 
登录 活动 目录 属于 交互 登录 。 


5.4.3 ”脱离 域 


用 户 可 以 脱离 本 域 、 加 入 其 他 域 ， 但 是 需要 通过 域 管理 员 的 同意 。 操 作 方法 如 下 : 

计算 机 用 户 以 管理 员 身 份 进行 本 地 登录 , 右 击 “ 我 的 电脑 ”， 依 次 选择 “属性 ”一 “ 计 
算 机 ”一 “更 改 ” 一 “工作 组 ”， 输 入 工作 组 名 后 ， 单 击 “ 确 定 ” 按 钮 ， 输 入 域 管理 员 的 
用 户 帐 户 名 和 密码 ， 如 图 5-73 所 示 ， 单 击 “ 确 定 ” 按 钮 ， 重 新 启动 计算 机 。 
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图 5-73 输入 域 管理 员 的 用 户 帐户 名 和 密码 


注意 : 
只 有 Enterprise Users 或 Domain Users 组 成 员 或 本 地 系统 管理 员 才 有 权 将 计算 机 脱离 域 。 


5.5 组 策略 及 应 用 


组 策略 与 组 织 单位 中 的 组 不 同 。 系 统管 理 员 可 利用 组 策略 来 管理 活动 目录 数据 库 中 的 
计算 机 与 用 户 。 例 如 : 用 户 桌 面 环境 、 计 算 机 启动 /关机 的 过 程 中 所 执行 脚本 文件 ， 用 户 登 
录 / 注 销 过 程 中 所 执行 的 脚本 文件 、 文 件 重 定向 、 软 件 安装 等 。 


5.5.1 组 策略 概述 


组 策略 的 设置 数据 保存 在 活动 目录 数据 库 中 ， 因 此 必须 在 域 控制 器 上 设置 组 策略 。 组 
策略 只 能 够 管理 计算 机 与 用 户 ， 也 就 是 说 组 策略 是 无 法 管理 打印 机 、 共 享 文件 夹 等 其 他 对 
象 的 。 组 策略 不 能 应 用 到 组 ， 只 能 够 应 用 到 站 点 、 域 或 组 织 单位 。 组 策略 不 适用 于 
Windows9X/NT 计算 机 ， 所 以 应 用 到 这 些 计算 机 上 无 效 。 组 策略 不 会 影响 未 加 入 域 的 计算 
机 和 用 户 ， 对 于 这 些 计算 机 和 用 户 ， 应 使 用 本 地 安全 策略 来 管理 。 


注意 : 
本 地 安全 策略 与 组 策略 很 相似 ， 但 功能 较 少 ， 仅 能 管理 本 机 上 的 计算 机 设置 与 用 户 
设置 。 


组 策略 的 设置 数据 都 保存 在 “组 策略 对 象 (GPO)” 中 ，GPO 具有 以 下 特性 : 
(1) GPO 利用 ACL 记录 权限 设置 ， 可 以 修改 个 别 GPO 的 ACL， 指 定 哪些 人 对 该 GPO 
拥有 何 种 权限 。 


第 5 章 活动 目录 服务 “173。 


(2) 用 户 只 要 有 足够 的 权限 ， 便 能 够 添加 或 删除 GPO， 但 无 法 复制 GPO。 当 活动 目录 
域 刚 建 好 时 , 默认 仅 有 一 个 GPO( 默 认 域 策略 )。 这 个 GPO 可 用 来 管理 域 中 所 有 的 计算 机 与 
用 户 。 若 要 设置 应 用 于 组 织 单位 的 组 策略 ， 通 常会 再 男 行 建 立 GPO， 以 方便 管理 。 

GPO 的 策略 有 以 下 两 种 : 

(1) 计算 机 配置 。 包 含 所 有 与 计算 机 有 关 的 策略 设置 ， 这 些 策略 只 会 应 用 到 计算 机 
帐户 。 

(2) 用 户 配置 。 包 含 所 有 与 用 户 有 关 的 策略 设置 ， 这 些 策略 只 会 应 用 到 用 户 帐 户 。 

如 图 5-74 所 示 ， 单 击 桌面 左下 角 的 “开始 ”按钮 选择“ 管理 工具 ”一 “组 策略 管理 ”命令 。 
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图 5-74 打开 “组 策略 管理 ” 


右 击 “Default-Domain-Policy”， 如 图 5-75 所 示 ， 在 弹出 的 快捷 菜单 中 选择 “编辑 ” 
命令 ， 打 开 如 图 5-76 所 示 的 窗口 。 
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5-75 ”编辑 Default-Domain-Policy 5-76 ”Default-Domain-Policy 编辑 窗口 


在 这 个 域 树 结构 中 ， 计 算 机 配置 和 用 户 配置 称 为 节点 (node)。 这 两 个 节点 又 都 包含 了 
软件 设置 、Windows 设 置 和 管理 模块 3 个 子 节点 。 
e 软件 设置 : 此 策略 用 来 管理 域内 所 有 软件 的 安装 、 发 布 、 指 派 、 更 新 、 修 复 和 删除 。 
。 Windows 设置 : 系统 管理 员 能 够 设置 脚本 文件 、 建 立 帐 户 策略 、 指 派 用 户 权限 和 集 
中 管理 用 户 配置 文件 。Windows 设置 在 计算 机 设置 与 用 户 设置 内 ,分 别 有 不 同 的 设 
置 项 目 。 在 计算 机 设置 的 Windows 设置 中 ， 能 够 设置 脚本 文件 与 安全 性 设置 策略 ; 
在 用 户 设置 的 Windows 设置 中 ， 能 够 设置 Intemet Explorer 维 护 、 脚 本 文件 、 安 全 
性 设置 、 远 程 安装 服务 与 文件 重 定向 策略 。 
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。 管理 模板 : 与 注册 表 有 关 的 策略 在 该 子 节点 下 。 系 统管 理 模板 在 计算 机 设置 能 够 设 
置 Windows 元 件 、 系 统 、 网 络 与 打印 机 策略 。 在 用 户 设置 的 系统 管理 模板 ， 能 够 
设置 Windows 元 件 、 开 始 菜单 、 和 任务 栏 、 桌 面 控制 台 、 网 络 与 系统 策略 。 

在 活动 目录 结构 中 ， 若 A 容器 下 层 还 有 B 容器 ， 则 B 容器 便 是 所 谓 的 子 容器 ，A、B 
容器 两 者 间 便 存在 策略 继承 关系 。 在 默认 情况 下 子 容器 会 继承 来 自 上 层 父 容器 的 GPO。 

在 整个 继承 关系 中 ， 最 上 层 为 站 点 ， 其 下 层 为 域 与 组 织 单位 。 若 有 多 层 组 织 单位 ， 则 
下 层 组 织 单位 会 继承 上 层 组 织 单位 的 GPO。 

策略 累加 机 制 和 组 策略 的 应 用 顺序 有 密切 的 关系 ， 组 织 单位 除了 本 身 的 组 策略 外 ， 还 
会 继承 来 自 上 层 容器 策略 。 子 容器 会 首先 应 用 继承 来 自 上 层 容器 的 组 策略 ， 然 后 再 应 用 本 
身 的 组 策略 ， 当 上 层 的 设置 项 目 与 下 层 的 设置 项 目 不 同 时 ， 组 策略 的 效果 可 以 相 加 ， 但 若 
是 对 同一 个 项 目 做 不 同 的 设置 ， 则 先 应 用 的 策略 会 被 后 来 应 用 的 策略 覆盖 。 

当 计 算 机 开机 时 ， 域 控制 器 会 根据 计算 机 帐户 在 活动 目录 中 的 位 置 ， 决 定 该 计算 机 必 
须 应 用 哪些 GPO， 此 时 仅 应 用 这 些 GPO 中 计算 机 设置 的 部 分 ， 用 户 登录 时 ， 即 按 
CtrH+Alt+Delete 后 ， 输 入 帐号 和 密码 ， 域 控制 器 会 根据 用 户 帐 户 在 活动 目录 中 的 位 置 ， 决 
定 该 用 户 必须 应 用 哪些 GPO， 此 时 仅 应 用 这 些 GPO 中 用 户 设置 的 部 分 。 

一 般 而 言 ， 都 是 计算 机 顺利 启动 之 后 ， 用 户 才能 用 该 计算 机 登录 域 ， 因 此 ， 在 实际 上 
是 先 应 用 计算 机 设置 ， 后 应 用 用 户 设 置 。 当 计算 机 设置 和 用 户 设置 发 生 冲 突 时 ， 计 算 机 设 
置 覆 盖 掉 用 户 设置 。 

由 于 计算 机 与 用 户 可 能 分 别 隶 属 不 同 的 站 点 、 域 或 组 织 单位 ， 因 此 ， 各 自 可 能 会 继承 
不 同 的 GPO。 最 先 应 用 本 机 的 组 策略 ， 其 次 为 站 点 的 组 策略 ， 然 后 为 域 的 组 策略 ， 最 后 是 
组 织 单位 的 组 策略 。 倘 车 不 考虑 不 可 强制 覆盖 和 不 要 继承 策略 ， 策 略 则 是 “后 应 用 的 设置 
值 覆盖 先 应 用 的 设置 值 ”。 


5.5.2 ”创建 组 策略 


创建 组 策略 的 操作 步骤 如 下 
(1) 如 图 5-77 所 示 ， 右 击 某 组 织 单 位 或 域名 后 ， 从 弹出 的 快捷 菜单 中 选择 第 一 个 命令 
弹出 如 图 5-78 所 示 的 对 话 框 。 


图 5-77 右 击 组 织 单位 、 创 建 组 策略 
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图 5-78 输入 组 策略 名 称 


(2) 输入 组 策略 名 称 ， 单 击 “ 确 定 ”按钮 。 
(3) 单 击 组 策略 所 属 的 组 织 单位 左 侧 的 “+” 符 号 ， 如 图 5-79 所 示 ， 单 击 组 策略 名 称 ， 
单 击 右 侧 窗口 中 的 “添加 ”按钮 ， 设 置 组 策略 的 约束 对 象 ， 如 图 5-80 所 示 。 


图 5-79 单 击 “ 添 加 ”按钮 
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5-80 设置 组 策略 的 约束 对 象 


(4) 切换 到 “委派 ”选项 卡 ， 如 图 5-81 所 示 ， 将 管理 GPO 的 工作 委派 给 特定 的 用 户 ， 
单 击 “ 添 加 ”按钮 ， 浏 览 、 添 加 用 户 的 帐户 或 组 ， 并 设置 管理 组 策略 的 权限 ， 如 图 5-82 所 
示 ， 单 击 “ 确 定 ” 按 钮 。 
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图 5-81 “委派 ”选项 卡 图 5-82 设置 管理 组 策略 的 权限 


(5) 打开 帐户 如 (sj_zhangxo) 的 属性 对 话 框 ， 单 击 打 开 “ 隶 属于 ”选项 卡 ， 如 图 5-83 
所 示 ， 单 击 “ 添 加 ”按钮 ， 浏 览 、 添 加 GROUP POLICY CREATOR OWNER 组 ， 使 用 户 
获得 新 建 与 删除 GPO 的 权限 。 


= ET 
图 5-83 “将 帐户 加 入 GROUP POLICY CREATOR OWNER 组 


(9) 如 果 希 望 强制 被 组 策略 约束 的 对 象 接受 组 策略 的 规则 ， 可 单 击 组 策略 所 属 的 组 织 
单位 左 侧 的 “+” 符 号 ， 如 图 5-84 所 示 ， 右 击 组 策略 名 称 ， 在 弹出 的 快捷 菜单 中 选择 “ 强 
制 ”命令 。 


基 文件 中) 所作 W) 查看 窗口 f) 大 顺 00 
Er 


图 5-84 ”强制 被 组 策略 约束 的 对 象 接受 组 策略 的 规则 
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5.5.3 ”组 策略 的 应 用 


eh Be 


巧妙 地 利用 Windows 系统 自 带 的 ping 命令 ， 可 以 快速 判断 网 中 某 台 重要 计算 机 的 网 
络 连通 性 ， 可 是 ，ping 命令 在 带 来 实用 的 同时 ， 也 容易 被 一 些 恶意 用 户 所 利用 ， 例 如 恶意 
用 户 要 是 借助 专业 工具 不 停 地 向 重要 计算 机 发 送 ping 命令 测试 包 时 , 重要 计算 机 系统 由 于 
无 法 对 所 有 测试 包 进行 应 答 ， 从 而 容易 出 现 瘫痪 现象 . 为 了 保证 Windows Server 2008 服务 
器 系统 的 运行 稳定 性 ， 可 修改 该 系统 的 组 策略 参数 ,来 禁止 来 自 外 网 的 非法 ping 攻击 : 首 
先 以 管理 员 身份 登录 进入 Windows Server 2008 服务 器 系统 ,选择 “开始 ”一 “运行 ”命令 ， 
输入 命令 gpeditmsc， 单 击 “ 确 定 ” 按 钮 ， 进 入 对 应 系统 的 控制 台 窗口 ， 依 次 双击 打开 “ 计 
算 机 配置 ”节点 下 的 “Windows 设置 ”一 “安全 设置 ”一 “高 级 安全 Windows 防火 墙 ”一 
“高 级 安全 Windows 防火 墙 ” 一 “本 地 组 策略 对 象 ”命令 ， 右 击 “ 入 站 规则 ”， 如 图 5-85 


所 示 ， 在 弹出 的 快捷 菜单 中 选择 “新 规则 ”命令 。 
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图 5-85 创建 新 规则 


在 “规则 类 型 ”中 选择 “ 自 定义 ”一 “程序 ”的 “所 有 程序 ”， 然 后 在 “协议 和 端口 ” 


中 选择 协议 类 型 ICMPv4， 如 图 5-86 所 示 。 


L20257) sa | 


图 5-86 在 协议 类 型 列表 中 选择 ICMPv4 
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在 “操作 ”界面 中 选择 “阻止 连接 ”， 单 击 打开 “名 称 ” 界 面 ， 如 图 5-87 所 示 ， 输 入 
规则 的 名 称 ， 单 击 “ 完 成 ”按钮 。 


oe 
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ohn cd 
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长 作 ES) D) 


人 
“请 


| ] 8 三 
图 5-87 输入 规则 的 名 称 


完成 上 面 的 设置 后 ， 重 新 启动 计算 机 ，Windows Server 2008 服务 器 系统 能 够 阻止 来 自 
其 他 主机 的 非 ping 攻击 。 


5.6 本 章 小 结 


本 章 首先 介绍 Windows Server 2008 的 基于 工作 组 网 络 的 小 规模 应 用 , 然后 主要 介绍 了 
Windows Server 2008 的 活动 目录 功能 。 基 于 活动 目录 可 构建 大 型 的 网 络 应 用 ， 同 时 提高 网 
络 的 安全 性 和 可 管理 性 ， 主 要 内 容 包 括 : 活动 目录 服务 的 功能 、 结 构 ， 活 动 目录 的 安装 、 
配置 与 删除 ， 用 户 与 组 的 管理 ，Windows 计算 机 加 入 域 、 脱 离 域 ， 组 策略 的 创建 及 应 用 。 


5.7 思考 与 练习 


【思考 题 】 

1. 活动 目录 的 作用 主要 有 哪些 ? 其 中 对 于 信息 安全 的 保障 原理 是 什么 ? 

2. 域 用 户 组 的 作用 是 什么 ? 分 为 几 种 ? 每 种 组 的 用 途 是 什么 ? 

3. 加 入 域 后 , Windows 客户 端 在 没有 登录 域 的 状态 下 如 何 访问 域 中 服务 器 与 其 他 客户 
端的 资源 ? 


【练习 题 】 
安装 、 配 置 、 删 除 活动 目录 (参考 5.2 节 )。 
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【本 章 导 读 】 
Windows Server 2008 提供 了 电子 证 书 服务 ， 用 于 通信 双方 的 身份 验证 ， 从 而 建立 起 一 
种 信任 机 制 ， 在 一 定 程度 上 保障 了 信息 安全 。 本 章 主要 介绍 了 电子 证 书 服务 与 证 书 服务 器 
的 部 署 、 企 业 CA 的 安装 与 使 用 、 独 立根 CA 的 安装 与 使 用 、 证 书 服务 的 管理 。 


6.1 ”电子 证 书 服务 


6.1.1 电子 证 书简 介 


为 了 保证 网 络 上 信息 传输 的 安全 ， 除 了 在 通信 中 采用 更 强 的 加 密 算法 等 措施 外 ， 还 必 
须 建 立 一 种 信任 及 信任 验证 机 制 ， 即 通信 各 方 必须 有 一 个 可 以 被 验证 的 标识 ， 这 就 需要 使 
用 电子 证 书 。 证 书 的 主体 可 以 是 用 户 、 计 算 机 、 服 务 等 。 证 书 可 以 用 于 多 方面 ， 例 如 Web 
用 户 身份 验证 、Web 服务 器 身份 验证 、 安 全 电子 邮件 等 。 安 全 证 书 确保 网 上 传递 信息 的 机 
密 性 、 完 整 性 、 以 及 通信 双方 身份 的 真实 性 ， 从 而 保障 网 络 应 用 的 安全 性 。 


6.1.2 证书 服务 器 的 部 署 


1. 公 钥 基础 结构 (PKI) 


(1) 什么 是 PKI 

PKI(Public Key Infrastructure) 是 通过 使 用 公 钥 技术 和 数字 证 书 来 确保 信息 安全 , 并 负责 
验证 数字 证 书 持 有 者 身份 的 一 种 技术 。 在 PKI 中 ， 各 参与 方 都 信任 同一 个 CA( 证 书 颁发 机 
构 )， 由 该 CA 来 核对 和 验证 各 参与 方 的 身份 。 
(2) PKI 的 组 成 
PKI 由 公 钥 加 密 技术 、 数 字 证 书 、CA( 证 书 颁 发 机 构 )、RA( 注 册 机 构 ) 等 共同 组 成 。 数 
字 证 书 用 于 用 户 的 身份 验证 。CA 是 一 个 可 信任 的 实体 ， 负 责 发 布 、 更 新 和 吊销 证 书 。RA 
接受 用 户 的 请 求 ， 负 责 将 用 户 的 有 关 申 请 信息 存档 备案 ， 并 储存 在 数据 库 中 ， 等 待 审核 ， 
并 将 审核 通过 的 证 书 请 求 发 送 给 证 书 颁发 机 构 。 

(3) PKI 体系 实现 的 功能 

e 身份 验证 : 确认 用 户 的 身份 标识 。 
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。 数据 完整 性 : 确保 数据 在 传送 过 程 中 没有 被 修改 。 
e 数据 机 密 性 : 防止 非 授 权 用 户 获取 数据 。 
。 操作 的 不 可 否认 性 : 确保 用 户 不 能 冒充 其 他 用 户 身 份 。 


2. 公 钥 加 密 技术 


(1) 公 钥 与 私 钥 

公 钥 加 密 技术 是 PKI 的 基础 ， 这 种 技术 需要 两 种 密 钥 : 公 钥 和 私 钥 。 

公 钥 和 私 钥 的 关系 如 下 : 

e 公 钥 和 私 钥 是 成 对 生成 的 ， 这 两 个 密 钥 互 不 相同 ， 两 个 密 钥 可 以 互相 加 密 和 解密 。 

e 不 能 根据 一 个 密 钥 来 推算 出 另 一 个 密 钥 。 

e 公 钥 对 外 公开 ， 私 钥 只 有 私 钥 的 持 有 人 才 知 道 。 

e。 私 钥 应 该 由 密 钥 的 持 有 人 妥善 保管 。 

公 钥 与 私 钥 配 对 使 用 ， 如 果 用 公 钥 对 数据 加 密 ， 只 有 用 相对 应 的 私 钥 才 能 解密 ， 如 果 
用 私 钥 对 数据 进行 加 密 ， 那 么 只 有 用 对 应 的 公 钥 才能 解密 。 

(2) 数据 加 密 

数据 加 密 确保 只 有 预期 的 接收 者 才能 解密 和 查看 原始 数据 ， 从 而 保证 了 数据 的 机 密 
性 。 传 送 数据 时 ， 发 送 方 使 用 接收 方 的 公 钥 加 密 数 据 ， 并 将 它 传送 。 当 接收 方 收 到 数据 后 ， 
使 用 自己 的 私 钥 解密 这 些 数 据 。 

(3) 数字 签名 

数字 签名 的 作用 如 下 。 

e 身份 验证 : 接收 方 可 确认 该 发 送 方 的 身份 标识 。 

e 数据 的 完整 性 : 证 实 消息 在 传递 过 程 中 内 容 没 有 被 修改 。 

e 操作 的 不 可 否认 性 : 其 他 用 户 不 可 能 冒充 该 发 送 方 发 送 消息 。 

用 户 可 以 通过 数字 签名 确保 数据 的 完整 性 和 有 效 性 ， 只 需 采 用 私 钥 对 数据 进行 加 密 处 
理 ， 由 于 私 钥 仅 为 用 户 个 人 拥有 ， 从 而 能 够 证 实 签 名 消息 的 唯一 性 。 

3. 使 用 PKI 的 协议 

PKI 相关 协议 如 下 : 

e@ SSL(Secure Socket Layer)， 安 全 套 接 字 层 ; 

。 HTTPS(Secure Hypertext Transfer Protocol)， 安 全 超 文 本 传输 协议 ; 

® IPSec(IP Security); 

负责 发 放 证 书 的 机 构 被 称 为 CA(Certificate Authority, 证 书 颁发 机 构 ), CA 是 PKI 公 钥 
基础 结构 中 的 核心 部 分 。CA 负责 管理 PKI 结构 下 所 有 用 户 的 数字 证 书 ， 把 用 户 的 公 钥 与 
用 户 的 其 他 信息 捆绑 在 一 起 ， 在 网 上 验证 用 户 的 身份 。 

PKI 系统 中 的 数字 证 书简 称 为 证 书 ， 它 把 公 铜 和 拥有 对 应 私 钥 的 主体 的 标识 信息 捆绑 
在 一 起 。 数 字 证 书 由 第 三 方 机 构 CA 签发 。 

证 书包 含 以 下 信息 : 
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e 使 用 者 的 公 钥 值 。 

e 使 用 者 标识 信息 。 

e 有 效 期 。 

e 颁发 者 标识 信息 。 

e 颁发 者 的 数字 签名 , 用 来 证 明 使 用 者 的 公 铀 和 使 用 者 的 标识 信息 之 间 的 绑 定 关系 是 
否 有 效 。 

CA 的 核心 功能 就 是 颁发 和 管理 数字 证 书 ， 具 体内 容 如 下 : 

e 处 理 证 书 申请 。 

e 鉴定 申请 者 是 否 有 资格 接收 证 书 。 

e 证 书 的 发 放 ， 向 申请 者 颁发 、 拒 绝 颁发 数字 证 书 。 

证 书 的 更 新 ， 接 收 、 处 理 最 终 用 户 的 数字 证 书 更 新 请 求 。 

接收 最 终 用 户 数 字 证 书 的 查询 、 撤 销 。 

产生 和 发 布 证 书 吊 销 列表 (CRL)。 

数字 证 书 的 归档 。 

密 钥 归档 。 

历史 数据 归档 。 

证 书 的 发 放 过 程 如 下 : 

(1) 用 户 进行 证 书 申请 。 

(2) RA( 注 册 机 构 ) 确 认 用 户 。 

(3) 证 书 策略 处 理 。 

(4) RA 提交 用 户 申 请 信息 到 CA。 

(5) CA 用 自己 的 私 钥 对 用 户 的 公 钥 和 用 户 信 息 ID 进行 签名 ， 生 成 电子 证 书 。 

(6) CA 将 电子 证 书 传送 给 批准 该 用 户 的 RA。 

(7) RA 将 电子 证 书 传送 给 用 户 。 

(8) 用 户 验证 CA 颁发 的 证 书 。 


6.2 企业 CA 的 安装 与 使 用 


6.2.1 安装 企业 CA 


具体 步骤 如 下 : 

(1) 在 域 控制 器 上 ， 单 击 桌面 左下 角 的 “开始 ”按钮 ， 依 次 选择 “管理 工具 ”一 “ 服 
务 器 管理 器 "一 “角色 ”命令 ， 打 开 “ 添 加 角色 向 导 ”， 如 图 6-1 所 示 ， 添 加 证 书 服务 角色 ， 
单 击 “ 下 一 步 ” 按 钮 。 
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lel 
图 6-1 打开 “添加 角色 向 导 ” 
(2) 如 图 6-2 所 示 ， 选 择 “ 证 书 颁 发 机 构 ” 和 “证 书 颁 发 机 构 Web 注册 ”， 单 击 “ 下 一 步 ” 


按钮 。 


图 6-2 选择 “证 书 颁发 机 构 ” 和 “证 书 颁发 机 构 Web 注册 ” 
G) 如 图 6-3 所 示 ， 在 指定 安装 类 型 中 选择 “企业 ”， 单 击 “ 下 一 步 ” 按 钮 。 
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CA 分 为 两 大 类 : 企业 CA 和 独立 CA。 

企业 CA 的 主要 特征 如 下 : 

e 企业 CA 安装 时 需要 AD( 活 动 目录 服务 支持 )， 即 计算 机 在 活动 目录 中 才 可 以 。 

e 当 安 装 企业 根 时 , 对 于 域 中 的 所 有 计算 机 , 它 都 将 会 自动 添加 到 受信 任 的 根 证 书 颁 


发 机 构 的 证 书 存储 区 域 。 
e 必须 是 域 管理 员 或 对 AD 有 写 权限 的 管理 员 ， 才 能 安装 企业 根 CA。 
独立 CA 主要 有 以 下 特征 : 


e 独立 CA 不 需要 AD 服务 。 
e 向 独立 CA 提交 证 书 申请 时 , 证 书 申请 者 必须 在 证 书 申请 中 明确 提供 所 有 关于 自己 
的 标识 信息 以 及 证 书 申请 所 需要 的 证 书 类 型 。 
e 默认 情况 下 ， 发 送 到 独立 CA 的 所 有 证 书 申请 都 被 设置 为 挂 起 ， 一 直到 独立 CA 的 
管理 员 验 证 申请 者 的 身份 并 批准 申请 。 
这 完全 出 于 安全 性 的 考虑 ， 因 为 证 书 申请 者 的 凭证 还 没有 被 独立 CA 验证 。 在 简单 介 
绍 完 CA 的 分 类 后 ， 下 面 在 AD( 活 动 目录 ) 环 境 下 安装 证 书 服务 。 
(4) 如 图 6-4 所 示 ， 选 择 “ 根 CA”， 单 击 “ 下 一 步 ” 按 钮 。 
划 


起: 指定 CA 类 型 


ps EU ee 
0cs 要 cA 是) 
区 多 卫 务 各 困 人 旦 两 一 六 宫 下 生 是 公 多 开 硫 结构 中 时 一 所 靖 去 机构， 各 违反 过 抽 。 
一 FRAD 
ET eat ch 轩 宙 区 ck 证 书 ， 讲 迁 和 比 过 项 。 


< 上 -SD 取 朋 
图 6-4 指定 CA 类 型 


企业 CA 和 独立 CA 中 又 可 以 分 为 根 CA 和 子 级 CA: 

e 根 CA 是 指 在 组 织 的 PKI 中 最 受信 任 的 CA; 

e 子 级 CA 是 由 组 织 中 的 根 CA 颁发 证 书 的 CA。 

(5) 如 图 6-5 所 示 ， 在 “设置 私 铀 ”界面 中 选择 “新 建 私 铀 ”， 单 击 “ 下 一 步 ” 按 钮 。 
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图 6-5 设置 私 钥 


(6) 如 图 6-6 所 示 ,在 “为 CA 配置 加 密 ”界面 ， 使 用 默认 的 加 密 服 务 程序 、 哈 希 算法 
和 密 钥 长 度 ， 单 击 “ 下 一 步 ”按钮 。 


栈 ，“ ems 


图 6-6 为 CA 配置 加 密 
(7) 如 图 6-7 所 示 ， 配 置 CA 名 称 ， 单 击 “ 下 一 步 ”按钮 。 


记 摆 “sr 


图 6-7 配置 CA 名 称 
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(8) 如 图 6-8 所 示 ， 设 置 CA 证 书 的 有 效 期 ， 默 认为 5 年 ， 单 击 “ 下 一 步 ”按钮 。 
酌 设 杆 有 效 期 


图 6-8 设置 CA 证 书 的 有 效 期 
(9) 如 图 6-9 所 示 ， 选 择 证 书 数据 库 的 保存 位 置 ， 单 击 “ 下 一 步 ”按钮 。 


图 6-9 选择 证 书 数据 库 的 保存 位 置 


(10) 如 图 6-10 所 示 ， 安 装 Web 服务 器 所 必需 的 角色 服务 ， 单 击 “ 下 一 步 ”按钮 。 


图 6-10 安装 Web 服务 器 所 必需 的 角色 服务 
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(1D 如 图 6-11 所 示 ， 确 认 安 装 信息 后 ， 开 始 安装 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 6-11 安装 进度 
(12) 如 图 6-12 所 示 ， 单 击 “ 下 一 步 ”按钮 ， 安 装 完成 。 


图 6-12 安装 完成 


(13) 安装 完成 后 ， 从 管理 工具 中 可 以 看 到 “Certification Authority”， 打 开 证 书 颁 发 机 


构 管理 器 ， 如 图 6-13 所 示 ， 在 此 管理 证 书 的 颁发 。 


图 6-13 ”证书 颁发 机 构 管理 器 
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6.2.2 证书 的 申请 与 颁发 
为 Web 站 点 申请 证 书 进而 使 用 SSL 通信 协议 ， 可 以 实现 Web 服务 器 和 浏览 器 之 间 的 


身份 认证 和 加 密 数 据 的 传输 。 申 请 与 颁发 证 书 的 步骤 如 下 : 
(1) 打开 “Internet 信息 服务 管理 器 ”， 如 图 6-14 所 示 ， 双 击 “ 证 书 服务 器 ”。 


jl 世 
m9- 


Er 


图 6-14 Intemet 信息 服务 管理 器 


QQ) 如 图 6-15 所 示 ， 单 击 “ 创 建 证 书 申请 ”。 
Le 
| ee 
ey [mht esas 
0 | ea 
OE | 
© sm 
了 机 相册 
Js | 
Wl ej 
于 恒 
6-15 ”创建 证 书 申请 


(3) 如 图 6-16 所 示 ， 在 “可 分 辨 名 称 属性 ”中 输入 对 应 的 信息 ， 其 中 “通用 名 称 ” 为 
站 点 域名 或 他 地 址 。 单 击 “ 下 一 步 ”按钮 。 
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| 


EE 
撤 Eeeeas 省 /市 /自治 攻 和 械 市 /地 点 必须 指定 为 正式 9 名称， 并且 不 诅 包含 纺 写 


可 分 辨 名 称 属性 


图 6-16 在 “可 分 辨 名 称 属性 ”中 输入 对 应 的 信息 


(4) 如 图 6-17 所 示 ， 使 用 默认 的 加 密 程序 和 密 钥 长 度 即 可 ， 单 击 “ 下 一 步 ” 按 钮 。 


I 加 密 服 务 提供 程序 属性 
BR 


6-17 设置 加 密 服 务 程序 属性 


(5) 如 图 6-18 所 示 ， 为 证 书 申请 指定 文件 名 和 保存 位 置 ， 单 击 “ 下 一 步 ”按钮 。 


wy 
文件 名 


上 -页 om | 工 -= |LEED ] w | 


图 6-18 为 证 书 申请 指定 文件 名 和 保存 位 置 


第 6 章 证 书 服务 "18 


(6) 完成 上 述 步骤 后 ， 打 开 ci\c.txt， 如 
复制 ctxt 中 的 全 部 内 容 。 


6-19 所 示 ， 可 见证 书 申请 文件 是 Base-64 编 


Al1UdDeQWBBTFDpyilei 
|Sw0BAQUFAADBEQCs3TuAL+7ad0bRiD12/HDiQwp/RYGFnyyjtZYF1Yti 1 
eGotbd Nezzhob SERS 3 ADRG ha ERDyAA TWOoe Dal et mt 1 B54Zi0IT oezACtY 
[=]/pHVOoIOcUe/oNJdX3u44O0n6S73xQJreYGST=S9Abl 4ooHP2nPQs 

一 一 shMND NEW CERTIFICATE REQUEST- 


图 6-19 查看 、 复 制 证 书 申请 文件 的 编码 


(7) 使 用 浏览 器 打开 http://10.0.0.1/certsrv(10.0.0.1 为 证 书 服务 器 下 地址 ), 如 图 6-20 所 
示 ， 单 击 “ 申 请 证 书 ”。 


全 用 此 央 站 为 您 的 Web Ri 芝 必 、 电 子 部 件 刘 户外 攻 其 他 程序 中 请 应 书 。 取 过 全 用 下 书 , 你 可 以 向 通 M 
Web 进行 通信 的 用 户 确认 个 的 身分、 签名 并 加 补 邮 性 “并 要 他 下 二 的 克 书 关 邱 涩 行 其 地 安全 任务 


作 耻 本 以 全 用 此 基站 下 程 下 书 硬 发 机 的 (CA 三 书 ， 还 书 星 长丰 书 必 铺 天 表 (CR ， 苇 才 全 着 村 直 中国 的 居 
起 


有 关 Active Directory 下 书生 务 的 P 帮 信息 ， 汪 参阅 Active Directory 证 书 好 务 文 同 


由 
二 四 持 筷 的 证 艺 申 读 的 凌乱 
下 载 Ch 证 芒 、 证 书 铺 臣 CR 


到 
TT 


图 6-20 ”申请 证 书 
(8) 如 图 6-21 所 示 ， 单 击 “ 高 级 证 书 申请 ”。 


EE 
i LE 


6-21 高 级 证 书 申请 
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(9) 如 图 6-22 所 示 ， 单 击 “ 使 用 base64 编码 的 CMC 或 PKCS #10 文件 提交 一 个 证 书 
申请 ， 或 使 用 base64 编码 的 PKCS #7 文件 续 订 证 书 申请 ”。 


CA 的 第 枚 决定 您 可 以 申请 的 古书 类别 。 单 击 下 列 选项 之 一 玉 - 
创 妇 并 向 此 CA 提交 一 个 申 证、 


使 用 base64 编码 的 CMC 下 PKC5 0 文人 提交 一 3 本 四 Pasct4 省 BNPKCS 吉文 
件 坊 汀 证 书 申请 。 


Dp TD ei ew 


虽 
CTT Si 人 PK 天 mm 


6-22 选择 申请 方式 


(10) 将 ctxt 里 的 内 容 粘贴 到 “Base-64 编码 的 证 书 申 请 ”， 如 图 6-23 所 示 ， 证 书 模板 
选择 “Web 服务 器 ”， 单 击 “提交 ”按钮 。 


hd 


Hl.- 可 
从 "日 -十 -RIAD 


国 mervtt Mum reetny 正和 


一 个 由 外 部 源 (如 Web 服务 富生 成 的 base-64 
请， 


要 提交 一 个 保存 的 申请 到 CA ,在 “保存 的 申请 ” 框 中 粘贴 
编码 的 CMC 或 PKCS #10 证 书 申请 或 PKCS #7 过 订 外 1 


ET 
用 吉 风 性: 
k Rt: 局 
-时 >] 四 


6-23 ”粘贴 证 书 申请 文件 的 编码 


(11) 由 于 使 用 的 是 企业 CA, 提交 申请 后 会 直接 进入 证 书 已 颁发 页 面 , 如 图 6-24 所 示 ， 
单 击 “ 下 载 证 书 ”( 独 立 CA 则 需要 管理 员 手 动 颁发 证 书 ， 并 重新 打开 第 (7) 步 的 页 面 ， 单 击 
“下 载 CA 证 书 ” 一 “证 书 链 ” 或 “CRL”)。 
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DER 久 本 或 C Base 54 铂 克 


加 于 Ee 


ini rl| 


图 6-24 下 载 CA 证 书 


(12) 将 证 书 certnew.cer 保存 到 本 地 位 置 ， 如 图 6-25 所 示 。 


0) [BEE 习 


~ pera| CE wn | 


6-25 ”将 证 书 certnew.cer 保存 到 本 地 位 置 


6.2.3 安装 Web 服务 器 证 书 


操作 步骤 如 下 : 
(1) 单 击 服务 器 证 书 中 的 “完成 证 书 申请 ”， 如 图 6-26 所 示 。 


a 
po we Me 


or 1 ESeE 

YE nba nam 
ee pt aa 
se a 


6-26 单 击 “ 完 成 证 书 申请 ” 


eA 
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(2) 如 图 6-27 所 示 ， 选 择 已 下 载 的 数字 证 书 文件 certnew.cer， 并 为 它 起 一 个 别名 ， 单 
击 “ 确 定 ” 按 钮 。 


SLTSL 


本 到 
a 指定 证 书 僻 发 机 构 响应 


通过 检索 包含 古书 入 发 机 梅 座 E89 文 件 未 完成 先前 创建 的 证 书 申请 ， 


国 : 
RE lf 
好 记名 称 D; 

Pr 


Ca ]_ ms | 
图 6-27 选择 已 下 载 的 数字 证 书 文件 


6.2.4 配置 安全 通道 (SSL) 


操作 步骤 如 下 : 
(1) 如 图 6-28 所 示 ， 在 需要 启用 HITPS 的 站 点 上 ， 单 击 “ 绑 定 ”。 


Me 
[amial @ web 主页 FE 一 | 
BENE pm oes] Hain, Em 加 Gm 
nm | ns 司 | 8NS 
| 加 这 3 hn 
4 加 条。 mm pen wr en om es 再 耐用 得 床 
到 看 千 折 目录 
镶 司 男 而 pp - 
3 放 wn MR 术 名 pr 
i a 
© Ex 目 e 地 
瑟 认 文档 。 有 于 Bt 身 从 奏 证 EE Fx by rs 
TT 
bp 
到 芒 昱 nm 
3 和 办 二 吉 让 6s S| 失 数 请 在 其 器 
ss 限 介 
lls @ wm = 
9 


6-28 单 击 “ 绑 定 ” 


(2) 单 击 “ 添 加 ”， 添 加 网 站 绑 定 。 如 图 6-29 所 示 ， 类 型 选择 为 “https”，SSL 证 书 
选择 “myweb”， 单 击 “ 确 定 ” 按 钮 。 


第 6 章 证 书 服务 


水 加 网 站 亡 定 ?|x|| 
类 型 四: 严 地 址 中- 端口 中: 
https 到 10.0.0.1 -| ks 

主机 名 00 

SSL 证 书 ); 


[i sé 


| 


6-29 ”添加 网 站 绑 定 


(3) 如 图 6-30 所 示 ， 打 开 “SSL 设置 ”。 


开工 WE =I9lxl 
本 ，nFPmesUamy » Fl » wb » [ 
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图 6-30 打开 “SSL 设置 ” 


人 


(4) 选中 “要 求 SSL” 和 “需要 128 位 SSL”， 如 图 6-31 所 示 ， 单 击 “ 应 用 ”， 不 管 
站 点 是 否 有 HTTP 类 型 的 绑 定 ， 用 户 都 只 能 以 HTTPS 方式 连接 站 点 。 


GO Os mem , Fis ，v， ET 
#@ 本 田间 助 四 
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| 
Carer 1@ us | em 
SO ree wool] saunana er se 说 生 。 | he 
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人 
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图 6-31 SSL 设置 并 启用 


经 过 以 上 步骤 后 ,完成 了 配置 安全 通道 (SSL) 的 任务 ， 从 而 实现 了 基于 证 书 的 身份 信息 
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加 密 和 验证 ， 较 高 程度 地 保证 了 网 络 信息 传递 安全 。 
6.3 ”本章 小 结 


本 章 主要 介绍 了 电子 证 书 服务 ， 包 括 电子 证 书 的 用 途 、 证 书 服务 器 的 部 署 、 企 业 CA 
的 安装 与 使 用 、 独 立根 CA 的 安装 与 使 用 、 证 书 服务 的 管理 。 正 确 地 运用 证 书 服务 ， 能 
大 幅度 地 提高 网 络 通信 中 的 信息 安全 。 


6.4 思考 与 练习 


【思考 题 】 
1. 电子 证 书 的 用 途 及 其 实现 原理 分 别 是 什么 ? 
2. 企业 根 CA 与 独立 根 CA 的 安装 环境 有 什么 区 别 ? 


【练习 题 】 
企业 CA 的 安装 与 使 用 (参考 6.2 节 )、 独 立根 CA 的 安装 与 使 用 (参考 6.3 节 )。 
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【本 章 导 读 】 
动态 主机 配置 协议 能 够 为 局 域 网 中 的 客户 端 自动 分 配 四 地 址 、 子 网 掩 码 及 其 他 相关 的 
配置 信息 。 如 果 网 络 中 有 可 用 的 DHCP 服务 器 ， 其 他 客户 端 计算 机 就 能 够 自动 地 向 其 发 出 
DHCP 服务 请 求 ， 并 获取 相关 的 他 配 置 。 这 种 全 自动 的 方式 避免 了 客户 端 用 户 手 工 设置 的 
麻烦 和 可 能 出 现 的 失误 ， 极 大 地 降低 了 网 络 管理 员 的 配置 工作 量 ， 提 高 了 工作 效率 ， 增 强 
了 网 络 管理 的 灵活 性 。 通 过 在 运行 Windows Server 2008 操作 系统 的 计算 机 上 添加 DHCP 
服务 器 角色 ， 并 进行 相关 的 参数 设置 ， 就 能 使 该 计算 机 成 为 网 络 中 的 DHCP 服务 器 。 


7.1 DHCP 服务 概述 


7.1.1 DHCP 服务 简介 


DHCP 是 动态 主机 配置 协议 Dynamic Host Configuration Protocol) 的 简称 ， 它 是 一 种 使 
网 络 管理 员 能 够 集中 管理 和 自动 分 配 卫 网 络 地 址 的 通信 协议 。 
在 卫 网络 中 , 每 个 连接 Internet 的 设备 都 需要 分 配 唯 一 的 也 地址 。 地址 分 配 有 以 下 几 
种 方式 。 
e 人 工分 配 ， 即 由 网 络 管理 员 人 工 为 主机 设 定 固定 的 下 地址 ， 且 地 址 不 会 过 期 。 
e 自动 分 配 : 作为 DHCP 客户 端的 主机 一 旦 成 功 地 从 DHCP 服务 器 端 租用 到 卫 地 址 
之 后 ， 就 永远 使 用 这 个 地 址 。 
e 动态 分 配 : 作为 DHCP 客户 端的 主机 从 DHCP 服务 器 端 租用 到 人 P 地 址 之 后 ， 并 非 
永久 地 使 用 该 地 址 ， 只 要 租约 到 期 ， 客 户 端 就 得 释放 这 个 P 地 址 ， 以 给 其 他 主机 
使 用 。 当 然 ， 客 户 端 可 以 比 其 他 主机 更 优先 地 更 新 租约 , 或 是 租用 其 他 的 下 地 址 。 
人 工分 配 仅 适用 于 计算 机 数量 较 少 的 网 络 ， 由 网 络 管理 员 为 每 一 台 主机 人 工 设 定 固定 
JP 地址， 工作 量 并 不 大 。 但 是 如 果 网 络 中 计算 机 数量 较 多 或 网 络 环境 复杂 多 变 的 时 候 ， 人 
工分 配方 式 就 显得 费时 费力 ， 而 且 非 常 容易 出 错 。 采用 DHCP 的 自动 分 配 或 动态 分 配 能 够 
很 好 地 解决 这 个 问题 ， 所 有 的 DHCP 客户 端 都 能 自动 地 获取 人 P 地 址 、 默 认 网 关 和 DNS 服 
务 器 地 址 等 信息 ， 从 而 有 效 避 免 了 可 能 出 现 的 输入 错误 ， 提 高 了 工作 效率 。 而 动态 分 配 显 
然 又 比 自动 分 配 更 加 灵活 ， 尤 其 是 当 网 络 中 的 实际 卫 地 址 不 足 的 时 候 。 因 为 通过 租约 期 
限 的 控制 保证 DHCP 客户 端 能 够 及 时 释放 所 占用 的 P 地 址 ， 而 网 络 中 的 主机 并 不 都 是 同 
时 开机 ， 这 就 使 得 总 体 上 可 以 用 较 少 数量 的 卫 地 址 空间 满足 较 多 主机 的 需求 。 
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DHCP 使 用 了 租约 的 概念 ， 或 称 为 计算 机 人 P 地 址 的 有 效 期 。 租 用 时 间 是 不 定 的 ， 主 要 
取决 于 用 户 在 某 地 联接 Intemet 需要 多 久 ， 这 对 于 教育 行业 或 其 他 用 户 频 繁 改 变 的 环境 是 
很 实用 的 。 通 过 较 短 的 租 期 , DHCP 能 够 在 一 个 计算 机 比 可 用 人 P 地 址 多 的 环境 中 动态 地 重 
新 配置 网 络 。 同 时 ，DHCP 还 支持 为 特定 计算 机 分 配 静态 地 址 ， 如 需要 永久 性 人 P 地 址 的 
Web 服务 器 。 

DHCP 服务 的 全 过 程 通常 分 为 以 下 4 个 阶段 : 

(1) DHCP 发 现 。DHCP 客户 端 在 物理 子 网 上 发 送 广播 来 寻找 可 用 的 DHCP 服务 器 并 
请 求 PP 租约 。 该 客户 端 生成 一 个 目的 地 址 为 255.255.255.255 或 者 一 个 子 网 广播 地 址 的 
DHCP 发 现 消息 (通常 DHCP 消息 只 在 本 地 网 络 传播 , 但 是 网 络 管理 员 也 可 以 配置 一 个 本 地 
路 由 来 转发 DHCP 消息 给 另 一 个 子 网 上 的 DHCP 服务 器 )。 

(2) DHCP 提议 。 当 DHCP 服务 器 收 到 一 个 来 自 客户 端的 DHCP 发 现 消息 时 ， 它 会 
供 一 个 他 租约 。DHCP 为 客户 保留 一 个 他 地址 ， 然 后 通过 网 络 发 送 一 个 DHCP 提议 消息 
给 客户 端 。 该 消息 包含 客户 端的 MAC 地 址 、 服 务 器 提供 的 他 地址、 子 网 掩 码 、 租 期 以 及 
提供 他 的 DHCP 服务 器 的 下 地址 。 

(3) DHCP 请 求 。 当 客户 端 收 到 一 个 DCHP 提议 时 ， 它 必须 告诉 所 有 其 他 的 DHCP 服 
务 器 它 已 经 接受 了 一 个 租约 提供 。 因 此 ， 该 客户 端 会 发 送 一 个 DHCP 请 求 消息 ， 其 中 包含 
提供 租约 的 服务 器 的 人 P 地 址 。 当 其 他 DHCP 服务 器 收 到 了 该 消息 后 ， 它 们 会 收回 所 有 可 
能 已 提供 给 客户 的 租约 。 然 后 它们 把 曾经 给 客户 保留 的 那个 地 址 重新 放 回 到 可 用 地 址 池 中 ， 
这 样 ， 它 们 就 可 以 为 其 他 计算 机 分 配 这 个 地 址 。 任 意 数 量 的 DHCP 服务 器 都 可 以 响应 同一 
个 中 租约 请 求 ， 但 是 每 一 个 客户 网 卡 只 能 接受 一 个 租约 提供 。 

(4) DHCP 确认 。 当 DHCP 服务 器 收 到 来 自 客户 的 DHCP 请 求 消息 后 ， 它 就 开始 了 配 
置 过 程 的 最 后 阶段 。 这 个 响应 阶段 包括 发 送 一 个 DHCP 确认 消息 给 客户 端 。 这 个 消息 包含 
卫 租约 的 租 期 和 客户 可 能 请 求 的 其 他 所 有 配置 信息 。 这 时 候 ，DHCP 服务 过 程 就 完成 了 。 


7.1.2 DHCP 服务 器 的 适用 范围 


通常 DHCP 适用 于 大 型 网 络 ， 然 而 即使 在 一 个 仅 拥有 少量 机 器 的 网 络 中 ，DHCP 仍然 
是 有 用 的 ， 因 为 一 台 机 器 可 以 几乎 不 造成 任何 影响 地 被 增加 到 本 地 网 络 中 。 虽然 DHCP 有 
很 多 优势 ， 但 是 在 使 用 不 当 的 时 候 ，DHCP 也 会 造成 灾难 性 的 后 果 。 如 果 DHCP 服务 器 的 
设置 有 问题 ， 将 会 影响 网 络 中 所 有 DHCP 客户 端的 正常 工作 。 如 果 网 络 中 只 有 一 台 DHCP 
服务 器 ， 当 它 发 生 故 障 时 ， 所 有 的 DHCP 客户 端 既 无 法 获得 人 P 地 址 ， 也 无 法 释放 已 有 的 
他 地址 , 从 而 导致 网 络 通信 的 瘫痪 。 因此 通常 在 一 个 重要 网 络 中 , 用 一 组 而 不 是 一 台 DHCP 
服务 器 来 管理 网 络 参数 的 分 配 。 

在 Windows 网 络 中 ，DHCP 服务 器 必须 是 一 台 安 装 有 Windows 2000 Server 或 以 上 版 
本 操作 系统 的 计算 机 ; 其 次 ， 担 任 DHCP 服务 器 的 计算 机 还 需要 安装 TCP/IP 协议 ， 并 为 
其 设置 静态 人 P 地 址 、 子 网 掩 码 、 默 认 网 关 等 网 络 参数 。 
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7.2 ”安装 DHCP 服务 器 


7.2.1 DHCP 服务 器 配置 过 程 


DHCP 服务 器 要 想 正 常 工作 ， 必 须 先 经 过 正确 的 安装 和 配置 。DHCP 服务 虽然 是 
Windows Server 2008 系统 的 自 带 组 件 ， 但 默认 情况 下 并 没有 安装 ， 需 要 管理 员 手 动 安装 。 

安装 过 程 中 或 安装 完毕 后 还 需要 在 DHCP 服务 器 上 添加 作用 域 , 并 设置 作用 域 的 名 称 、 
地 址 池 空 间 、 子 网 掩 码 及 默认 网 关 等 信息 。 添 加 完毕 后 还 需要 激活 作用 域 。 

出 于 网 络 安全 管理 的 考虑 , 如 果 DHCP 服务 器 是 域 的 成 员 , 并 且 在 安装 DHCP 服务 过 
程 中 没有 选择 授权 ， 那 么 在 安装 完成 后 不 能 直接 使 用 。DCHP 服务 器 必须 先进 行 授权 ， 然 
后 才能 为 DHCP 客户 端 提 供 DHCP 服务 (独立 服务 器 是 不 需要 授权 的 )。 

出 于 数据 安全 的 考虑 ， 网 络 管理 员 还 应 该 对 DHCP 服务 器 定期 进行 备份 ， 以 便 在 需要 
的 时 候 还 原 DHCP 服务 器 设置 ， 保 证 网 络 的 稳定 运行 。 


7.2.2 安装 DHCP 服务 器 


在 Windows Server 2008 系统 中 安装 “DHCP 服务 器 ”可 以 通过 添加 角色 向 导 完 成 , 具 
体 步骤 如 下 : 

(1) 通过 单 击 “ 服 务 器 管理 器 ”中 的 “添加 角色 ”链接 启动 “添加 角色 向 导 ”， 在 “ 选 
择 服务 器 角色 ”步骤 所 显示 的 角色 列表 中 选中 “DHCP 服务 器 ” 复 选 框 ， 如 图 7-1 所 示 ， 
然后 单 击 “ 下 一 步 ” 按 钮 。 


ETTTEEH 划 | 


讼 选择 展 务 器 角色 


之 SU C2 
图 7-1 添加 角色 向 导 - 选 中 DHCP 服务 器 角色 
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(2) 接 下 来 的 页 面 会 显示 DHCP 服务 器 的 简介 信息 和 安装 DHCP 服务 器 的 注意 事项 ， 
单 击 “ 下 一 步 ” 按 钮 ， 将 进入 如 图 7-2 所 示 的 “选择 网 络 连接 绑 定 ”步骤 。 在 此 步骤 中 会 
自动 列 出 该 服务 器 现 有 的 具备 固定 他 地 址 的 网 络 连接 , 并 显示 出 该 连接 的 名 称 、 所 使 用 的 
网 卡 类 型 及 MAC 地址。 如 果 该 服务 器 拥有 多 个 具有 静态 卫 地 址 的 网 络 连接 ， 则 每 个 网 络 
连接 都 可 用 于 为 单独 子 网 上 的 DHCP 客户 端 提供 服务 。 
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图 7-2 ”添加 角色 向 导 -选择 网 络 连接 绑 定 


(3) 下 一 步 将 指定 与 DHCP 服务 器 相关 的 DNS 服务 器 设置 ,如 图 7-3 所 示 , 如 果 DHCP 
服务 器 处 于 某 个 域 中 ， 系 统 会 自动 把 该 域 的 名 称 和 域 中 的 DNS 服务 器 地 址 填 入 相应 的 编 
辑 框 中 。 
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图 7-3 添加 角色 向 导 - 指 定 DNS 服务 器 设置 


(4) 下 一 步骤 是 指定 WINS 服务 器 设置 ， 如 图 7-4 所 示 。WINS 服务 主要 支持 运行 旧 
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版 Windows 的 客户 端 和 使 用 NetBIOS 名 称 的 应 用 程序 。 如 果 网 络 中 的 所 有 主机 都 运行 
Windows 2000 或 Windows XP 及 更 高 版 本 的 操作 系统 ,并 且 网 络 中 没有 任何 需要 NetBIOS 
名 称 的 应 用 程序 , 如 旧版 的 Exchange Server 或 BackOffice 等 ， 则 应 选择 “不 需要 WINS”。 
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图 7-4 添加 角色 向 导 - 指 定 WINS 服务 器 设置 


(5) 接 下 来 是 “添加 或 编辑 DHCP 作用 域 ”步骤 ， 如 图 7-5 所 示 ，DHCP 作用 域 是 为 
了 便于 管理 而 对 子 网 上 使 用 DHCP 服务 的 计算 机 人 P 地 址 进行 的 分 组 , 由 给 定子 网 上 DHCP 
服务 器 可 以 租用 给 客户 端的 于 地 址 池 组 成 ,例如 子 网 192.168.1.0 中 从 地 址 192.168.1.100 到 
地 址 192.168.1.200 的 地 址 池 。 在 此 步骤 中 ， 管 理 员 可 以 通过 单 击 “ 添 加 ”按钮 打开 如 图 
7-6 所 示 的 “添加 作用 域 ” 对 话 框 ， 输 入 相关 参数 完成 新 作用 域 的 添加 。 
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7-5 添加 角色 向 导 -添加 或 编辑 DHCP 作用 域 7-6 “添加 作用 域 ”对 话 框 


(6) 下 一 步骤 是 配置 DHCPv6 无 状态 模式 ， 如 图 7-7 所 示 ， 由 于 目前 不 需 配置 IPv6， 
因此 选中 “对 此 服务 器 禁用 DHCPv6 无 状态 模式 ” 单 选 按钮 。 
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图 7-7 添加 角色 向 导 -配置 DHCPv6 无 状态 模式 


(7) 接 下 来 是 “授权 DHCP 服务 器 ”步骤 ， 如 图 7-8 所 示 ， 在 此 可 以 选择 “使 用 当前 
凭据 ”以 当前 登录 帐户 授权 ， 也 可 以 选择 “使 用 备份 凭据 ”使 用 其 他 帐户 授权 。 如 果 想 对 
DHCP 服务 器 暂 不 授权 ， 可 以 选择 “ 跳 过 AD DS 中 此 DHCP 服务 器 的 授权 ”， 以 后 再 根 
据 需 要 在 DCHP 控制 台中 进行 授权 操作 。 
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《上 - 步 四 | [下 -过 四 >] 了 B 消 
图 7-8 添加 角色 向 导 -授权 DHCP 服务 器 


(8) 最 后 显示 “确认 安装 选择 ”， 如 图 7-9 所 示 ， 列 出 前 面 各 步骤 中 所 做 的 配置 信息 ， 
如 需 更 改 ， 可 通过 “上 一 步 ”按钮 或 窗口 左 侧 的 步骤 链接 返回 某 个 步骤 进行 修改 。 如 果 无 
需 更 改 ， 则 可 单 击 “ 安 装 ” 按 钮 开始 安装 DHCP 服务器。 
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图 7-9 添加 角色 向 导 -确认 安装 选择 


(9) 经 过 一 定时 间 的 安装 后 , 系统 会 显示 “安装 结果 ”信息 , 如 图 7-10 所 示 , 提示 DHCP 
服务 器 已 经 安装 成 功 。 此 时 单 击 “ 关 闭 ” 按 钮 关闭 “添加 角色 向 导 ”， 完 成 整个 安装 过 程 。 


ET [en my 
图 7-10 添加 角色 向 导 - 安 装 结 果 


7.2.3 为 DHCP 服务 器 授权 


为 避免 因 使 用 不 正确 的 配置 运行 DHCP 服务 器 , 或 者 在 错误 的 网 络 上 使 用 正确 的 配置 

运行 DHCP 服务 器 所 导致 的 意外 损坏 ，Windows Server 2008 规定 凡 在 域 中 安装 的 DHCP 
服务 器 必须 经 过 授权 才能 向 客户 端 提供 DHCP 服务 。 如 果 在 安装 DHCP 服务 器 的 时 候 没有 
授权 ， 则 在 安装 完成 后 必须 通过 DHCP 控制 台 对 其 进行 授权 。 


打开 “管理 工具 ”中 的 DHCP 控制 台 ， 在 左 侧 树 形 列表 中 右 击 DHCP 服务 器 的 名 称 ， 
在 弹出 的 快捷 菜单 中 选择 “授权 ”命令 ， 即 可 为 DHCP 服务 器 授权 。 如 图 7-11 所 示 即 是 
已 经 过 授权 并 添加 了 作用 域 的 DHCP 服务 器 的 情况 。 
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图 7-11 DHCP 控制 台 


7.3 ”DHCP 服务 器 的 设置 


7.3.1 DHCP 选项 的 设置 


在 为 DHCP 客户 端 设 置 了 基本 的 TCP/IP 配置 如 下 地 址 、 子 网 掩 码 和 默认 网 关 之 后 ， 
大 多 数 客户 端 还 需要 DHCP 服务 器 通过 DHCP 选 项 提供 其 他 信息 。 其 中 最 常见 的 信息 如 下 : 
e 路 由 器 。DHCP 客户 端 所 在 子 网 上 路 由 器 的 IP 地 址 首选 列表 。 客 户 端 可 根据 需要 
与 这 些 路 由 器 联系 以 转发 目标 为 远程 主机 的 下 数据 包 。 
e DNS 服务 器 。 可 由 DHCP 客户 端 用 于 解析 域 主机 名 称 查 询 的 DNS 名 称 服务 器 的 他 


地 址 。 
e DNS 域 。 指 定 DHCP 客户 端 在 DNS 域名 称 解析 期 间 解 析 不 合格 名 称 时 应 使 用 的 
域名 。 


e WINS 节点 类 型 。 供 DHCP 客户 端 使 用 的 首选 NetBIOS 名 称 解 析 方 法 ， 如 仅 用 于 

广播 的 B 节点 或 用 于 点 对 点 和 广播 混合 模式 的 卫 节点 。 

e WINS 服务 器 。 供 DHCP 客户 端 使 用 的 主要 和 辅助 WINS 服务 器 的 卫 地 址 。 

在 一 个 客户 端 主机 数量 众多 、 类 型 各 异 、 功 能 不 同 的 复杂 网 络 结构 中 ， 同 一 台 DHCP 
服务 器 需要 面 对 不 同 的 DHCP 客户 端 ， 并 根据 它们 的 类 别 和 需求 ， 分 别 指派 不 同 的 DHCP 
选项 设置 。 为 了 能 够 灵活 准确 地 完成 上 述 工 作 ，DHCP 服务 器 允许 管理 员 从 以 下 几 个 不 同 
的 级 别管 理 DHCP 选项 : 

e 预定 义 选项 。 在 这 一 级 ， 管 理 员 可 以 控制 为 DHCP 服务 器 预定 义 哪些 类 型 的 选项 ， 

以 便 作为 可 用 选项 显示 在 任何 一 个 通过 DHCP 控制 台 提供 的 选项 配置 对 话 框 ， 如 
“服务 器 选项 ”、“ 作 用 域 选项 ”或 “保留 选项 ”中 。 可 根据 需要 将 选项 添加 到 标 
准 选项 预定 义 列表 或 从 该 列表 中 删除 选项 。 设 置 预定 义 选项 的 方法 是 在 DHCP 控 
制 台 中 的 DHCP 服务 器 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “设置 预定 义 的 选项 ” 
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命令 ， 如 图 7-12 所 示 ， 打 开 “ 预 定义 的 选项 和 值 ”对 话 框 ， 如 图 7-13 所 示 。 在 这 
里 可 以 查看 现 有 的 选项 类 别 ， 还 可 通过 单 击 “ 添 加 ”按钮 打开 “选项 类 型 ” 对话 框 ， 
添加 新 的 选项 。 

Em -aa 


EIR 
和 中 | 9 3 多 


EE 
MD bo 本 刁 

Feesa 可 

A 隔 极 呢 斑 


Sa I 2 


7-12 DHCP 控制 台 -设置 预定 义 的 选项 7-13 DHCP 控制 台 - 预 定义 的 选项 和 值 


e 服务 器 选项 。 在 此 赋值 的 选项 默认 应 用 于 DHCP 服务 器 中 的 所 有 作用 域 和 客户 端 
或 由 它们 默认 继承 ,此 处 配置 的 选项 值 可 以 被 其 他 值 覆盖 ,但 前 提 是 在 作用 域 选项 、 
保留 选项 、 类 别 选项 级 别 上 设置 这 些 值 。“ 服 务 器 选项 ”在 DHCP 服务 器 安装 后 
即 存在 ， 在 这 个 选项 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “配置 选项 ”命令 ， 即 可 打 
开 如 图 7-14 所 示 的 “服务 器 选项 ”对 话 框 。 在 其 中 可 配置 在 DHCP 控制 台中 显示 
的 服务 器 选项 。 


Ca en | aw) 


图 7-14 DHCP 控制 台 - 服 务 器 选项 


。 作用 域 选 项 。 在 此 赋值 的 选项 仅 应 用 于 DHCP 控制 台 树 中 选 定 的 相应 作用 域 中 的 
客户 端 。 此 处 配置 的 选项 值 可 以 被 其 他 值 覆 盖 ,， 但 前 提 是 在 保留 选项 或 类 别 选项 级 
别 上 设置 这 些 值 。 同 样 ，“ 作 用 域 选项 ”在 DHCP 服务 器 作用 域 创建 后 即 存在 ， 
在 这 个 选项 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “配置 选项 ”命令 ， 即 可 打开 如 图 
7-15 所 示 的 “作用 域 选项 ”对 话 框 。 在 其 中 可 配置 在 DHCP 控制 台中 显示 的 作用 
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图 7-15 DHCP 控制 台 -作用 域 选项 


e 保留 选项 。 为 那些 仅 应 用 于 特定 的 DHCP 保留 客户 端的 选项 赋值 。 要 使 用 该 级 别 
的 指派 ， 必 须 首先 为 相应 客户 端 在 向 其 提供 人 P 地 址 的 相应 DHCP 服务 器 和 作用 域 
中 添加 保留 。 这 些 选 项 为 作用 域 中 使 用 地 址 保留 配置 的 单独 DHCP 客户 端 而 设置 。 
只 有 在 客户 端 上 手动 配置 的 属性 才能 替代 在 该 级 别 指派 的 选项 。 

e 类 别 选项 。 主要 是 针对 客户 端 将 自己 设置 为 某 些 特 定 类 别 的 设置 选项 ,类别 选项 就 
是 用 来 识别 客户 端 标识 的 类 别 。 设 置 类 别 可 以 通过 在 DHCP 控制 台中 的 DHCP 服 
务 器 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “定义 用 户 类 别 ” 命 令 ， 弹 出 如 图 7-16 所 
示 的 “DHCP 用 户 类 别 ” 对 话 框 ， 然 后 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “新 建 类 别 ” 
对 话 框 中 输入 新 建 类 别 的 名 称 、 相 关 描述 及 名 称 的 二 进 制 编码 信息 ， 如 图 7-17 所 
示 ， 以 建立 需要 的 用 户 类 别 。 


EE 
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撕 述 加 
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图 7-16 DHCP 控制 台 -DHCP 用 户 类 别 7-17 DHCP 控制 台 -新 建 类 别 


建立 用 户 类 别 后 ， 即 可 在 使 用 任何 选项 配置 对 话 框 (配置 服务 器 选项 、 作 用 域 选项 或 新 
建 保留 ) 时 ， 通 过 单 击 打开 “高 级 ”选项 卡 来 配置 和 启用 标识 ， 为 指定 用 户 或 供应 商 类 别 的 
成 员 客户 端的 指派 选项 。 根 据 所 处 的 环境 ， 只 有 那些 根据 所 选 类 别 标识 自己 的 DHCP 客户 
端 才能 分 配 到 网 络 管理 员 为 该 类 别 明 确 配置 的 选项 数据 。 

当 服 务 器 选项 、 作 用 域 选项 、 保 留 选项 与 类 别 选项 的 设置 有 冲突 时 ， 默 认 最 高 的 优先 
级 别 是 类 别 选项 ， 然 后 是 保留 选项 ， 接 下 来 是 作用 域 选项 ， 最 后 是 服务 器 选项 。 也 就 是 说 
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F 动 设置 ， 那 么 客户 端的 设置 优先 级 


服务 器 选项 的 优先 级 别 最 低 。 如 果 客 户 端 计算 机 上 有 了 
别 将 高 于 DHCP 服务 器 上 的 所 有 设置 。 


7.3.2 ”新 建 作用 域 


为 了 向 网 络 中 的 计算 机 提供 DHCP 服务 ， 必 须 创 建 作用 域 。 为 了 向 不 同 网 络 中 的 客户 
端 提供 不 同 的 人 P 地 址 和 相关 信息 ， 还 需要 创建 不 同 的 作用 域 。 因 此 一 个 DHCP 服务 器 中 
可 以 有 多 个 不 同 的 作用 域 。 既 可 以 在 安装 DHCP 服务 器 的 时 候 添加 和 设置 作用 域 ， 也 可 以 
在 以 后 根据 需要 随时 建立 新 的 作用 域 。 新 建 作用 域 的 基本 步骤 如 下 : 

(D 在 DHCP 控制 台中 的 DHCP 服务 器 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 作用 
域 ” 命 令 ， 即 可 弹出 “新 建 作用 域 向 导 ” 对 话 框 ， 如 图 7-18 所 示 。 


欢迎 使 用 新 建 作用 域 向 导 
在 F3 上 为 和 分 本 地 


需要 继续 , 请 单 击 " 下 一 步 ”。 


my 
图 7-18 “新 建 作用 域 向 导 ” 对 话 框 


(2) 向 导 中 的 第 一 步 就 是 输入 新 作用 域 的 名 称 及 其 相关 的 描述 信息 ， 如 图 7-19 所 示 。 


作用 域名 称 
您 必 病 提供 一 个 用 于 识别 的 作用 域名 称 。 您 还 可 以 提供 一 个 指 述 癌 选 )。 


交往 和 此 信息 帮 荔 您 快速 标识 此 作用 二 在 网 络 上 的 作 


名 so 
据 述 @): 85 下 用 区 


< 上 - 步 四 取消 


图 7-19 ”新建 作 用 域 向 导 -作用 域名 称 


(3) 第 二 步 是 指定 新 作用 域 所 包含 的 地 址 范围 ， 以 及 对 应 的 子 网 掩 码 长 度 或 值 ， 如 图 


7-20 所 示 。 
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新 建 作用 域 向 号 


输入 此 作用 坛 分 本 的 地 址 范围 * 
i 132 6 1 5 


冯 束 二 反目 |132 168_ 1 70 
3 aanm 


飞度 中 FE 当 
FA VW: 255 255 -255 ~ 0 


ms | 
图 7-20 新 建 作用 域 向 导 -人 P 地 址 范围 


(4) 接 下 来 是 “添加 排除 ”， 如 图 7-21 所 示 ， 管 理 员 可 以 规定 哪 部 分 或 是 哪 一 个 他 地 
址 将 被 排除 在 自动 分 配 的 地 址 空间 以 外 。 
EIT 


添加 排除 
排险 是 指 服务 器 不 分 配 的 地 址 或 地 让 范 国 。 


1 0 4 全 | 添加 凤 ) 
排 阶 的 地 址 范围 C) 


《< 上-- 步 四 | 下 - 步 四 > 取消 


图 7-21 新 建 作用 域 向 导 -添加 排除 


(5) 第 四 步 是 设 定 作 用 域 提供 给 DHCP 客户 端的 下 地址 的 租用 期 限 ， 如 图 7-22 所 示 。 

对 于 主要 包含 台式 计算 机 、 结 构 相 对 固定 的 网 络 来 说 ， 租 用 期 限 可 以 设置 得 较 长 些 ; 对 于 主 

要 包含 笔记 本 电脑 或 拨号 客户 端 、 结 构 灵 活 多 变 的 网 络 来 说 ， 设 置 较 短 的 租用 期 限 更 好 些 。 
EEC 


租用 期 限 
租用 期 限 指定 了 一 个 客户 淹 从 此 作用 域 使 用 IP 地 吉 838; 间 长 短 。 


Ra 


上 Ei 位 置 固定 从 网 络 来 诬 ， 设 置 较 长 的 租 


设置 服 务 器 分 邯 光 作用 域 租用 期 限 。 
限制 为: 
天 四 :4 时 四 : 分 种 加 : 
sw [EE 一 


图 7-22 新 建 作用 域 向 导 -租用 期 限 
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(6) 接 下 来 是 配置 DHCP 选项 , 如 图 7-23 所 示 。 此 处 配置 的 DHCP 选项 为 作用 域 选项 。 
这 些 选项 可 以 现在 配置 ， 也 可 以 在 建立 作用 域 以 后 再 另行 配置 。 
ey TDHCF 选 需 之 后 , 客户 滨 才 可 以 使 用 作用 域 。 9 
证 请 中 本 .pe 


Tf 这 些 设置 将 检 善 此 服务 器 的“ 服务 器 和 项 " 文 


一 | 
图 7-23 新建 作用 域 向 导 -配置 DHCP 选项 


(7) 如 果 在 上 一 步骤 中 选择 “是 ， 我 想 现在 配置 这 些 选项 ”， 则 接 下 来 的 3 个 步骤 中 ， 

向 导 会 依次 要 求 管理 员 输 入 路 由 器 他 地 址 、 域 名 称 、DNS 服务 器 名 称 及 他 地 址 和 WINS 

服务 器 名 称 及 了 P 地 址 等 相关 信 

(8) 最 后 ， 向 导 询问 是 否 马 上 激活 新 建 的 作用 域 ， 如 图 7-24 所 示 , 通常 都 应 选择 “是 ， 

我 想 现在 激活 此 作用 域 ”。 然 后 单 击 “ 下 一 步 ” 按 钮 ， 向 导 将 会 开始 创建 新 的 作用 域 ， 并 
在 创建 完毕 后 提示 创建 成 功 的 信息 ， 如 图 7-25 所 示 。 

[人 用 二 


I 攻 NY 正在 完成 新 建 作用 域 身 导 
NEE 但 殉 志 了 3 人 月- 
人 县; 在世 作 县 
和 作用 0) 
车 要 关闭 该 向 导 ， 请 年 而 “完成 ”。 
ms | ‘tsu BR] mw | 
图 7-24 新建 作 用 域 向 导 -激活 作用 域 图 7-25 新建 作用 域 向 导 -完成 新 建 作 用 域 向 导 


7.3.3 ”作用 域 的 设置 


在 新 建 作用 域 的 过 程 中 设 定 相关 的 各 个 选项 并 激活 以 后 ， 作 用 域 就 可 以 开始 工作 了 。 

- 般 情况 下 不 需要 更 改作 用 域 的 选项 。 但 是 当 网 络 环境 发 生变 化 ， 或 网 络 管理 的 要 求 改变 
的 时 候 ， 也 需要 修改 现 有 作用 域 的 选项 设置 。 

在 DHCP 控制 台 左 侧 的 树 状 列表 中 选择 相应 的 DHCP 服务 器 , 在 服务 器 包含 的 对 应 的 
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作用 域 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 即 可 弹出 “作用 域 属性 ”对 话 框 ， 
如 图 7-26 所 示 。 在 此 对 话 框 中 就 可 以 查看 或 修改 作用 域 的 各 个 选项 设置 了 。 


TE fa 
守 | | FawiaP| 训 | 


Cj]_™w Ez 


图 7-26 “作用 域 属性 ”对 话 框 


7.3.4 保留 IP 地 址 


在 网 络 中 有 时 需要 给 某 些 特定 的 DHCP 客户 端 如 FTP 服务 器 .打印 服务 器 等 分 配 固定 
的 下 地 址 ， 这 些 固 定 的 他 地 址 必须 为 特定 的 DHCP 客户 端 保留 下 来 ， 不 能 再 分 配给 其 他 
客户 端 ， 这 可 通过 DHCP 服务 器 的 “保留 ”功能 来 实现 。“ 保 留 ”功能 可 以 确保 当 特 定 的 
DHCP 客户 端 向 DHCP 服务 器 请 求 获得 IP 地 址 或 更 新 人 P 地 址 租约 的 时 候 ，DHCP 服务 器 
都 会 给 该 客户 端 分 配 其 需要 的 同一 个 也 地址 。 

设置 保留 人 P 地 址 ， 只 需 在 DHCP 控制 台中 展开 相应 的 作用 域 ， 在 作用 域 的 “保留 ” 
项 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 保留 ”命令 ， 即 可 弹出 “新 建 保留 ”对 话 框 ， 
如 图 7-27 所 示 。 此 对 话 框 中 需要 设置 以 下 选项 : 


EE x 
为 保留 计 户 尖 多 入 信息 
保 贸 名称); Pene | 
了 地址 四): | 
wv FF 
提示 四): 后 RD 


aa 


图 7-27 “新 建 保留 ”对 话 框 


e 保留 名 称 : 设置 保留 项 的 名 称 ， 用 于 与 其 他 保留 项 区 分 。 
e 了 全 地址: 即 需要 为 特定 DHCP 客户 端 保留 的 他 地 址 。 
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e MAC 地 址 : 此 处 应 输入 要 保留 人 P 地 址 的 DHCP 客户 端 网 卡 的 MAC 地 址 。 这 是 
DHCP 服务 器 识别 客户 端的 重要 标志 。 只 有 使 用 该 MAC 地 址 的 DHCP 客户 端 网 卡 
才能 获得 该 保留 地 址 。 

e 描述 :对 使 用 保留 地 址 的 DHCP 客户 端 做 一 个 简单 的 描述 。 此 项 为 可 选项 。 

e 支持 的 类 型 : 设置 客户 端 所 支持 的 DHCP 服务 类 型 。 其 中 BOOTP 是 为 兼容 早期 无 
盘 工 作 站 而 设计 的 ， 普 通 的 客户 端 计算 机 可 选择 “ 仅 DHCP” 或 “两 者 ”。 

设置 相关 参数 后 ， 单 击 “ 添 加 ”按钮 ， 即 可 建立 特定 IP 地 址 与 特定 DHCP 客户 端 之 

间 的 关系 ， 保 证 将 此 人 P 地 址 保留 给 该 DHCP 客户 端 使 用 。 重 复 操作 ， 就 可 以 添加 多 个 保 
留 卫 地 址 。 


7.3.5 ”超级 作用 域 


当 网 络 环境 变 得 越 来 越 复 杂 时 ，DHCP 客户 端的 种 类 、 数 量 和 要 求 也 会 越 来 越 多 ， 
台 DHCP 服务 器 上 往往 会 有 多 个 作用 域 , 每 个 作用 域 用 于 管理 网 络 中 的 一 部 分 主机 并 独立 
地 提供 配置 信息 。 多 个 作用 域 增 大 了 网 络 管理 员 的 管理 复杂 度 ， 降 低 了 管理 效率 ， 于 是 超 
级 作用 域 应 运 而 生 。 它 可 以 将 DHCP 服务 器 上 的 多 个 作用 域 合 并 为 一 个 超级 作用 域 ， 把 它 
作为 单个 实体 来 管理 。 如 果 在 同一 个 物理 网 段 上 存在 多 个 DHCP 作用 域 ， 分 别管 理 分 离 的 
逻辑 IP 网 络 结构 ， 就 可 以 通过 使 用 超级 作用 域 来 组 合并 激活 所 有 被 包含 的 作用 域 ， 并 通过 
这 种 方式 为 客户 端 提供 来 自 多 个 作用 域 的 租约 。 

超级 作用 域 的 建立 也 是 通过 DHCP 控制 台 实 现 的 。 步 骤 如 下 : 

(1) 在 DHCP 控制 台中 右 击 要 创建 超级 作用 域 的 DHCP 服务 器 ， 在 弹出 的 快捷 菜单 中 
选择 “新 建 超级 作用 域 ”命令 ， 即 可 弹出 如 图 7-28 所 示 的 “新 建 超级 作用 域 向 导 ” 对 话 框 。 


欢迎 使 用 新 建 超级 作用 域 向 导 


和 它 扩充 您 在 一 网 络 中 可 


夫人 拓 作 个 TBYFRI2 上 组 全 在 起 ， 


着 要 继续 ,请 单 击 “ 下 一 步 ”。 


图 7-28 “新 建 超级 作用 域 向 导 ” 对 话 框 


(2) 单 击 “ 下 一 步 ”按钮 ， 在 “超级 作用 域名 ”步骤 中 给 新 建 的 超级 作用 域 输入 一 个 
名 称 ， 如 图 7-29 所 示 。 
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新 建 起航 作用 域 向 导 


者 如 作用 域名 KS 
你 二 要 提 共 一 个 识 到 起 梁 作用 域 入 名称。 Yl 


全 由: Fre 


< 上 - 步 四 职 消 
图 7-29 ”新建 超级 作用 域 向 导 -超级 作用 域名 称 


(3) 单 击 “ 下 一 步 ”按钮 ， 在 “选择 作用 域 ”步骤 中 会 列 出 当前 DHCP 服务 器 中 现 有 
的 可 用 作用 域 列表 ， 如 图 7-30 所 示 。 在 表 中 选择 需要 加 入 到 超级 作用 域 的 一 个 或 多 个 作用 
域 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 
a 个 作 才 域 集合 未 创建 一 个 超 没 作用 域 。 SI 
从 列表 中 选择 一 个 或 条 个 作用 域 洗 其 示 加 到 超级 作 用 域 中 
司 用 作用 


Tige 1 
Ti 


Le] 
图 7-30 新 建 超级 作用 域 向 导 -选择 作用 域 


(4) 在 如 图 7-31 所 示 的 “正在 完成 新 建 超级 作用 域 向 导 ”， 管 理 员 在 此 可 以 审查 超级 
作用 域 的 名 称 及 其 包含 的 作用 域 是 否 符合 要 求 。 


正在 完成 新 建 超级 作用 域 向 导 


您 成 功 地 完成 了 匠 建 超级 作用 域名 导 * 
村 建立 以 下 总 级 作用 二 

名 和 和。 

此 起 如 作用 域 中 包 合 的 作用 域 


Taz 136. 0.0] evscope 
az 158. 1.0] Merhres 


荐 要 关闭 该 向 导 ， 请 单 击 “ 完 成 ”> 


|] 辆 
图 7-31 新 建 超级 作用 域 向 导 -正在 完成 向 导 
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(5) 单 击 “ 完 成 ”按钮 ， 超 级 作用 域 创建 成 功 ， 并 显示 在 DHCP 控制 台 列表 中 ， 如 图 
7-32 所 示 。 原 有 的 作用 域 就 像 是 超级 作用 域 中 的 下 一 级 目录 ， 便 于 分 类 管理 。 


文件 四 ”操作 和 查看 WD 帮助 中 
和 四 | 于 |X 自 GSI 
| 


er 
SB winserverc00.n 
日 


冯 作 用 
自作 朋 域 Hoz 6e .0 0 
鳞 放 朋 域 [192.106.1.0] 


下 168.0.0] NerSeope 

加 加 作用 沽 [132 168 1 0] Revkrea 
国 服务 吕 庆 项 

ms 


FE L i 
图 7-32 ”建立 完成 的 超级 作用 域 


创建 超级 作用 域 以 后 ， 还 可 以 随时 做 进一步 的 调整 ， 比 如 将 某 个 作用 域 添加 到 超级 作 
用 域 中 ， 或 者 将 某 个 作用 域 从 超级 作用 域 中 删除 ， 甚 至 在 不 需要 超级 作用 域 的 时 候 将 整个 
超级 作用 域 删 除 。 当 然 删 除 超级 作用 域 并 不 会 影响 它 所 包含 的 作用 域 ， 因 为 超级 作用 域 只 
是 一 个 简单 的 容器 ， 它 里 面 所 包含 的 作用 域 是 不 会 被 同时 删除 的 。 


7.4 DHCP 服务 器 的 维护 


DHCP 服务 器 的 维护 需求 很 小 , 只 有 在 出 现 问题 例如 DHCP 作用 域 的 地 址 空间 被 耗 尽 
或 要 将 DHCP 服务 器 迁移 到 别 的 计算 机 上 时 才 需 要 维护 。 


7.4.1 数据 库 的 备份 与 还 原 


DCHP 服务 器 的 作用 就 是 配置 和 管理 网 络 中 DHCP 客户 端的 人 P 地 址 等 相关 信息 ， 
旦 服务 器 发 生 故 障 , 不 仅 客 户 端 计算 机 无 法 获取 了 P 地 址 信息 ,原来 的 作用 域 及 保留 地 址 等 
相关 设置 也 会 丢失 ， 从 而 影响 网 络 的 正常 运行 。 因 此 ， 对 DHCP 服务 器 数据 的 备份 显得 万 

DHCP 服务 器 的 数据 都 保存 在 %Systemroot%\system32\dhcp 文件 夹 里 ， 其 中 dhcp.mdb 
作为 存储 数据 库 文件 , 其 他 文件 为 辅助 文件 , 还 有 一 个 backup 文件 夹 , 用 来 存放 备份 DHCP 
数据 库 文件 。DHCP 服务 器 默认 情况 下 每 小 时 会 自动 将 DHCP 数据 库 文件 备份 到 该 文件 夹 
中 。 因 此 通过 复制 backup 文件 夹 的 所 有 内 容 可 以 达到 备份 DHCP 服务 器 数据 的 目的 。 每 
次 DHCP 服务 器 启动 的 时 候 都 会 自动 检查 DHCP 数据 库 是 否 损坏 ， 如 果 发 现 损坏 ， 就 自动 
使 用 %Systemroot%\system32\dhcp\backup 文件 夹 中 的 备份 数据 进行 数据 还 原 。 但 是 如 果 
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backup 文件 夹 中 的 数据 也 被 损坏 ， 那 么 系统 将 无 法 完成 自动 还 原 工作 ， 相 关 服 务 也 无 法 正 
常 启动 。 为 了 避免 这 一 情况 , 在 人 工 备 份 DHCP 数据 库 的 时 候 往往 选择 与 DHCP 服务 器 不 
同 的 计算 机 存储 媒体 进行 备份 。 

由 于 Windows Server 2008 对 DHCP 服务 器 的 备份 与 还 原 做 了 优化 ， 所 以 完全 不 需要 
直接 对 这 些 文件 夹 或 文件 进行 操作 , 只 需 在 DHCP 控制 台 窗 口中 右 击 DHCP 服务 器 的 名 称 ， 
在 弹出 的 快捷 菜单 中 选择 “备份 ”命令 ， 如 图 7-33 所 示 ， 在 弹出 的 “浏览 文件 夹 ”对 话 框 
中 选择 要 保存 备份 文件 的 位 置 ， 如 图 7-34 所 示 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 备份 
操作 。 


广 御 0) 可 作 W) 吾 看 如 各 00 
名 中 让 | 小 和 | 旧 硬 旦 所 
[mr 


本 
先 拓 INE? 服务 关 要 冰 首 备份 文 半 广 伯 天 * 


有 


图 7-33 备份 DHCP 数据 库 -选择 备份 图 7-34 备份 DHCP 数据 库 -浏览 文件 夹 


还 原 DHCP 数据 库 的 操作 也 同样 简单 ， 只 需 在 DHCP 控制 台 窗口 中 右 击 DHCP 服务 
器 的 名 称 ， 在 弹出 的 快捷 菜单 中 选择 “还 原 ” 命 令 ， 如 图 7-35 所 示 ， 在 弹出 的 “浏览 文件 
夹 ” 对 话 框 中 选择 备份 文件 所 在 的 位 置 ， 如 图 7-36 所 示 ， 然 后 单 击 “ 确 定 ”按钮 ， 即 可 完 
成 还 原 操作 。 
=Iolx| 


文件 吕 拉 作品 二 看 加 帮 基 00 
名 路 | 六 | 可 | 减 日 | 旧 本 | 书 蛙 
[本 ee | 


| 
站 择 mhr 肝 务 器 能 找到 和 份 文 伯 的 文件 关 。 


末 建 文件 夫 吧 | 取消 iy 
7-35 还 原 DHCP 数据 库 - 选 择 还 原 图 7-36 还 原 DHCP 数据 库 -浏览 文件 夹 


1 | T 


需要 注意 的 是 ， 为 了 保持 数据 的 一 致 性 ,无论 备份 还 是 还 原 DHCP 数据 库 ， 都 不 能 在 
DHCP 服务 运行 的 时 候 进行 。 备 份 DHCP 数据 库 的 时 候 ， 服 务 器 会 自动 暂停 DHCP 服务 ， 
待 备份 完毕 后 再 自动 开启 服务 。 还 原 DHCP 数据 库 的 时 候 ， 系 统 也 会 弹出 如 图 7-37 所 示 
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的 信息 框 ,告诉 管理 员 在 还 原 DHCP 数据 库 的 时 候 系统 会 自动 停止 并 重新 启动 DHCP 服务。 
可 


企 为 了 使 交 动 生效 ， 必 须 停止 和 重新 启动 服务 。 要 这 样 做 吗 ? 


ED 
图 7-37 还 原 DHCP 数据 库 -警告 信息 


7.4.2 ”服务 器 迁移 


有 时 因为 硬件 配置 的 升级 限制 , 或 是 服务 器 所 在 物理 位 置 的 变化 ， 原 有 的 DHCP 服务 
器 已 不 能 满足 要 求 ， 这 就 需要 用 一 台新 的 DHCP 服务 器 替代 原 有 的 服务 器 。 而 原 有 服务 器 
上 往往 已 经 包含 了 关于 作用 域 、 保 留 地 址 以 及 大 量 DHCP 选项 的 设置 , 如 果 在 新 DHCP 服 
务 器 上 全 部 进行 重新 设置 ， 难 免 会 因 玻 漏 造成 错误 。 通 过 对 旧 服务 器 上 的 DHCP 数据 库 进 
行 备份 ， 然 后 转移 到 新 服务 器 上 进行 还 原来 实现 服务 器 的 迁移 ， 是 一 种 简单 而 又 不 易 出 错 
的 方法 。 

1. 旧 DHCP 服务 器 上 的 操作 


步骤 如 下 : 

(1) 为 确保 数据 的 一 致 性 ， 首 先 停 止 DHCP 服务 。 

(2) 将 %Systemroot%\system32\dhcp 文件 夹 中 的 所 有 文件 及 文件 夹 全 部 备份 出 来 。 

(3) 将 注册 表 中 键 值 为 “HKEY_ LOCAL-MACHINE \ SYSTEM \ CurrentControlSet \ 
Services \ DHCP Server” 的 注册 表 内 容 导 出 到 一 个 注册 表 文 件 中 。 


2. 新 DHCP 服务 器 上 的 操作 


步骤 如 下 : 

(1) 首先 确保 服务 器 上 已 经 安装 了 DHCP 服务 器 角色 ， 且 当前 DHCP 服务 处 于 停止 

(2) 将 旧 DHCP 服务 器 上 备份 出 来 的 %Systemroot%\system32\dhcp 文件 夹 中 的 所 有 文 
件 及 文件 夹 复 制 到 新 DHCP 服务 器 的 相应 位 置 。 

G3) 将 从 旧 DHCP 服务 器 上 导出 的 注册 表 文件 导入 到 新 DHCP 服务 器 中 注册 表 的 相应 
键 值 的 位 置 。 

(4) 重新 启动 DHCP 服务 ， 然 后 在 DHCP 控制 台中 右 击 DHCP 服务 器 名 称 ， 在 弹出 的 
快捷 菜单 中 选择 “协调 所 有 作用 域 ”命令 , 在 弹出 的 “协调 所 有 作用 域 ”对 话 框 中 单 击 “ 验 
证 ”按钮 ， 如 图 7-38 所 示 ， 如 果 显 示 验 证 一 致 的 信息 ， 如 图 7-39 所 示 ， 则 表明 迁移 成 功 ， 
新 的 DHCP 服务 器 已 经 可 以 正常 工作 。 
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了 对 
此 操作 桂 数 据 库 中 的 作用 域 信息 与 注册 夫 中 的 比较 = 


7-38 协调 所 有 作用 域 对 话 框 图 7-39 DHCP 迁移 -验证 一 致 


需要 注意 的 是 , 新 DHCP 服务 器 在 网 络 连接 上 的 设置 如 网 络 适 配器 的 数量 及 网 络 适 配 
器 所 连接 的 网 络 等 应 该 与 原 有 的 DHCP 服务 器 相 一 致 或 是 相 兼容 的 ， 否 则 就 有 可 能 导致 服 
务 器 迁移 后 DHCP 服务 无 法 正常 启动 。 


7.5 ”DHCP 客户 端的 配置 


网 络 中 的 DHCP 服务 器 一 旦 配置 完成 ， 就 意味 着 绝 大 部 分 工作 都 做 完了 ，DHCP 客户 
端 计 算 机 只 需 设 置 为 “自动 获取 也 地 址 ” 即 可 自动 从 DHCP 服务 器 获得 人 P 地 址 信息 ， 并 
实现 网 络 通信 。 下面 以 两 种 最 常用 的 操作 系统 Windows XP 和 Windows 7 为 例 , 说 明 DHCP 
客户 端 计算 机 的 配置 过 程 。 


7.5.1 配置 Windows XP 客户 端 


配置 Windows XP 客户 端的 操作 步骤 如 下 : 

(1) 通过 右 击 任务 栏 通知 区 域 的 “本 地 连接 ”图 标 ， 在 弹出 的 快捷 菜单 上 选择 “打开 
网 络 连接 ”命令 (也 可 以 其 他 方式 打开 网 络 连接 窗口 )。 

(2) 在 “网 络 连接 ”窗口 中 右 击 “本 地 连接 ”图 标 ， 在 弹出 的 快捷 菜单 上 选择 “属性 ” 
命令 ， 打 开 如 图 7-40 所 示 的 “本 地 连接 属性 ”对 话 框 。 
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图 7-40 WindowsXP 的 “本 地 连接 属性 ”对 话 框 
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(G3) 在 “本 地 连接 属性 ”对 话 框 中 选择 “Intemet 协议 (TCP/IP)” 项 目 ， 然 后 单 击 “ 属 
性 ”按钮 ， 打 开 如 图 7-41 所 示 的 “Intemet 协议 (TCP/IP) 属 性 ”对 话 框 。 


图 7-41 WindowsXP 的 “Intemet 协议 (TCP/IP) 属 性 ”对 话 框 


(4) 在 “Intemet 协议 (TCP/IP) 属 性 ”对 话 框 中 选中 “自动 获取 下 地址 ”和 “自动 获取 
DNS 服务 器 地 址 ” 单 选 按 钮 ， 再 单 击 “ 确 定 ”按钮 保存 设置 ， 即 可 完成 DHCP 客户 端的 配 


置 。 客户 端 计算 机 就 会 自动 搜索 网 络 中 的 DHCP 服务 器 , 并 自动 从 DHCP 服务 器 上 获取 下 
地 址 信息 。 


7.5.2 配置 Windows 7 客户 端 


步骤 如 下 : 
(1) 通过 右 击 任务 栏 通 知 区 域 的 “网 络 -Internet 访问 ”图 标 ， 在 弹出 的 快捷 菜单 上 选择 
“打开 网 络 和 共享 中 心 ”命令 (也 可 从 控制 面板 等 其 他 途径 打开 网 络 和 共享 中 心 )。 


(2) 在 “网 络 和 共享 中 心 ” 窗 口中 单 击 “ 本 地 连接 ”链接 ， 在 弹出 的 “本 地 连接 状态 ” 
对 话 框 中 单 击 “属性 ”按钮 ， 打 开 如 图 7-42 所 示 的 “本 地 连接 属性 ”对 话 框 。 
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图 7-42 Windows7 的 “本 地 连接 属性 ”对 话 框 
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G) 在 “本 地 连接 属性 ”对 话 框 中 选择 “Intemet 协议 版 本 4(TCP/IPv4)” 项 目 ， 然 后 单 
击 “ 属 性 ”按钮 ， 打 开 如 图 7-43 所 示 的 “Intemet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 。 
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图 7-43 Windows7 的 “Intemet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 


(4) 在 “Intemet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 中 选中 “自动 获得 他 地 址 ”和 “ 自 
动 获 取 DNS 服务 器 地 址 ” 单 选 按钮 ， 再 单 击 “确定 ”按钮 保存 设置 ， 即 可 完成 DHCP 客 
户 端的 配置 。 客 户 端 计算 机 就 会 自动 搜索 网 络 中 的 DHCP 服务 器 , 并 自动 从 DHCP 服务 器 
上 获取 他 地 址 信息 。 


7.6 本 章 小 结 


在 Windows Server 2008 系统 中 ， 可 以 通过 “添加 角色 向 导 ” 来 添加 “DHCP 服务 器 ” 
角色 ， 从 而 在 所 属 网 络 中 部 署 DHCP 服务 器 。 当 有 DHCP 客户 端 发 出 请 求 DHCP 服务 的 
广播 信息 后 ，DHCP 服务 器 就 会 响应 请 求 ， 并 从 配置 的 地 址 范围 内 为 客户 端 提供 可 用 的 中 
也 址 。 

安装 好 的 DHCP 服务 器 还 必须 经 过 授权 才能 开始 工作 , 这 是 为 了 避免 由 于 运行 带 有 错 
误 配 置 的 DHCP 服务 器 或 者 在 错误 的 网 络 上 运行 配置 正确 的 服务 器 而 导致 的 大 多 数 意外 破 
环 。 如 果 启 动 了 未 经 授权 的 DHCP 服务 器 ， 它 可 能 开始 为 客户 端 租用 不 正确 的 人 P 地 址 或 
者 否认 尝试 续 订 当前 地 址 租约 的 DHCP 客户 端 , 这 都 会 导致 启用 DHCP 的 客户 端 产生 更 多 
的 问题 。 

DHCP 选项 是 DHCP 服务 器 分 配给 客户 端的 配置 设置 如 默认 网 关 地 址 、DNS 服务 器 、 
WINS 节点 类 型 等 。 管 理 员 可 以 在 添加 “DHCP 服务 器 ”角色 时 设置 DHCP 作用 域 和 基本 
的 DHCP 选项 ， 也 可 以 通过 “管理 工具 ”中 的 DHCP 控制 台 进行 相关 的 DHCP 选项 设置 。 
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7.7 思考 与 练习 


【思考 题 】 
1. DHCP 服务 的 全 过 程 可 分 为 哪 几 个 阶段 ? 
2. DHCP 服务 器 允许 管理 员 从 哪儿 个 级 别管 理 DHCP 选项 ? 不 同 级 别 的 DHCP 选项 分 
别 作用 于 什么 范围 ? 当 不 同 级 别 的 DHCP 选项 设置 之 间 有 冲突 时 ， 系 统 如 何 处 理 ? 
3. 建立 作用 域 的 过 程 中 需要 指定 哪些 参数 设置 ? 
4. 为 什么 要 设置 保留 瑟 地 址 ? 如 何 设置 保留 他 地址 ? 


【练习 题 】 

初始 条 件 : 一 台 已 安装 并 启用 DHCP 服务 的 Windows Server 2008 服务 器 、 服 务 器 管 
理 员 帐 户 、 已 连通 的 本 地 网 络 、 网 络 打 印 机 ; 

操作 目标 : 在 已 安装 并 启用 DHCP 服务 的 Windows Server 2008 服务 器 上 新 建 一 个 
DHCP 作用 域 ,作用 域 所 包含 的 地 址 范围 应 为 192.168.3.101~192.168.3.120 和 192.168.3.201~ 
192.168.3.220; 同时 指定 网 络 打 印 机 (MAC 地 址 为 00-25-D3-3B-FD-01) 的 IP 地 址 必须 为 
192.168.3.110。 
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【本 章 导 读 】 

Web 服务 是 网 络 上 最 常用 的 服务 之 一 , 它 可 以 为 用 户 以 最 直观 的 方式 提供 大 量 信息 和 
资源 ， 如 信息 查询 、 广 告发 布 、 商 务 活动 以 及 社交 活动 等 ，Web 服务 在 网 络 中 发 挥 着 至 关 
重要 的 作用 。Windows Server 2008 中 的 IIS 组 件 可 以 提供 强大 的 Web 服务 , 不仅 支 持 静 态 
网 站 发 布 信息 ， 也 可 以 支持 ASP、.Net 等 动态 网 站 技术 来 实现 网 站 和 用 户 的 交互 ， 使 用 户 
获得 更 好 的 使 用 体验 。 同 时 IS 简单 、 易 用 、 便 于 管理 ， 为 客户 节约 了 使 用 和 维护 成 本 。 


8.1 Web 服务 的 搭建 与 配置 


Windows Server 2008 通过 IIS(Internet 信息 服务 ) 提 供 Web 服务 。IIS 是 一 个 综合 性 的 
服务 组 件 ， 可 以 提供 WWW、FTP、SMTP 等 服务 ， 并 可 以 对 这 些 服务 进行 统一 的 管理 。 

如 果 要 在 Windows Server 2008 上 安装 TS， 至 少 应 该 做 好 以 下 几 项 准备 工作 : 

(1) 安装 IS 的 Windows Server 2008 服务 器 最 好 拥有 一 个 固定 IP; 

(2) 如 果 提 供 的 Web 服务 是 面向 Internet 的 ， 那 么 这 个 网 站 最 好 拥有 一 个 域名 ; 

(G3) 这 个 网 站 的 域名 和 下 地址 应 该 被 加 入 DNS 服务 器 ; 

(4) Web 网 页 最 好 保存 在 NTFS 文件 系统 的 分 区 中 ， 以 加 强 安全 性 。 


8.1.1 Web 服务 器 的 安装 


在 默认 状态 下 ，Windows Server 2008 是 没有 安装 任何 服务 的 ， 因 此 需要 手动 添加 相应 
的 服务 。Windows Server 2008 中 提供 Web 服务 的 组 件 是 Intemet 信息 服务 ， 即 Internet 
Information Services， 简 称 IS。 安 装 方法 如 下 : 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”， 打 开 服 务 器 管理 器 ， 在 
左 侧 窗 口 选择 “角色 ”， 在 右 侧 窗口 单 击 “ 添 加 角色 ”， 打 开 添 加 角色 向 导 ， 如 图 8-1 
所 示 。 
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图 8-1 “选择 服务 器 角色 ”界面 


(2) 选择 “Web 服务 器 (TS)”， 此 时 会 弹出 对 话 框 询问 是 否 添加 必须 的 Windows 进程 
激活 服务 ， 如 图 8-2 所 示 。 
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8-2 添加 功能 


(3) 单 击 “ 添 加 必需 的 功能 ”按钮 ， 返 回 到 添加 角色 向 导 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 
进入 “Web 服务 器 (IIS)” 界 面 ， 再 单 击 “ 下 一 步 ”按钮 ， 进 入 “选择 角色 服务 ”界面 ， 如 
图 8-3 所 示 。 
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图 8-3 “选择 角色 服务 ”界面 
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(4) 如 果 网 站 需要 使 用 ASP.NET 技术 ， 则 选中 “应 用 程序 开发 ”中 的 子 项 ASP.NET 
和 ASP， 此 时 会 弹出 对 话 框 询问 是 否 要 添加 必须 的 角色 和 功能 ， 如 图 8-4 所 示 。 
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(5) 单 击 “ 添 加 必需 的 角色 服务 ”， 返 回 到 向 导 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “ 确 
认 安 装 选择 ”界面 ， 如 图 8-5 所 示 。 
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图 8-5 


(6) 单 击 “ 安 装 ”按钮 ， 等 待 几 分 钟 后 安装 完毕 ， 进 入 “结果 ”界面 ， 单 击 “ 关 闭 ” 
按钮 即 可 完成 安装 。 


(7) 依次 选择 “开始 ”一 “管理 工具 ”一 “Intemet 信息 服务 管理 器 ”， 打 开 “Internet 
信息 服务 (IS) 管 理 器 ”， 如 图 8-6 所 示 。 
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图 8-6 “Intemet 信息 服务 (IS) 管 理 器 ”界面 
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(8) 选择 “连接 任务 ”一 “连接 至 localhost” 命 令 ， 能 看 到 如 图 8-7 所 示 的 界面 ， 说 明 
IIS 已 安装 成 功 。 
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图 8-7 “管理 服务 器 ”界面 


(9) 或 者 打开 正 浏览 器 ， 在 地 址 栏 中 输入 localhost 或 者 127.0.0.1， 可 以 看 到 如 图 8-8 
所 示 的 界面 ， 也 说 明 IIS 已 安装 成 功 。 
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8-8 测试 网 站 页 面 


8.1.2 ”Web 网 站 的 基本 配置 


对 于 Web 网 站 的 基本 配置 包括 以 下 几 项 。 
1. 启动 、 停 止 和 重启 


在 HS 中 选中 要 配置 的 网 站 ， 右 侧 窗口 中 有 “重新 启动 ”、“ 启 动 ” 和 “停止 ”3 个 
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选项 ， 分 别 可 以 使 该 网 站 重启 、 启 动 和 停止。 

当 网 站 被 停止 时 ， 用 户 是 无 法 访问 网 站 的 ， 只 有 启动 之 后 才能 再 次 访问 。 

如 果 网 站 出 现 一 些 比较 小 的 故障 ， 或 者 进行 某 些 设置 ， 可 以 使 用 重启 功能 尝试 恢复 正 
常 运行 或 使 设置 生效 。 

2. 设置 主 目录 

JS 安装 完毕 后 ， 已 经 可 以 打开 默认 网 站 ， 管 理 员 也 可 以 将 网 站 文件 替换 默认 网 站 文 
件 ， 或 者 将 默认 网 站 的 主 目录 设置 为 自己 的 网 站 目录 。 

主 目 录 就 是 网 站 文件 所 在 的 根 目录 ， 用 于 保存 网 站 所 有 的 网 页 、 图 片 和 声音 等 文件 ， 
默认 路 径 为 “Ci\inetpubWwwwroot”， 管 理 员 可 以 将 网 站 文件 复制 到 该 路 径 下 。 但 是 数据 文 
件 和 操作 系统 文件 在 同一 个 卷 中 ， 一 方面 如 果 系 统 出 现 问题 ， 需 要 重新 安装 系统 时 数据 也 
会 被 破坏 ， 另 一 方面 如 果 系 统 被 攻击 ， 黑 客 一 般 会 首先 攻击 默认 设置 的 一 些 文件 路 径 。 修 
改 主 目录 的 具体 操作 方法 如 下 : 

(1) 打开 IIS 管理 器 ,选择 欲 设置 主 目录 的 站 点 ， 在 右 侧 窗口 的 “操作 ” 栏 中 单 击 “ 基 
本 设置 ”， 打 开 “ 编 辑 网 站 ”对 话 框 ， 如 图 8-9 所 示 。 
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8-9 “编辑 网 站 ”对 话 框 


(2) 在 “物理 路 径 ” 对 话 框 中 输入 网 站 主 目 录 的 路 径 ， 或 者 单 击 “ 浏 览 ”按钮 ， 在 弹 
出 的 对 话 框 中 选择 路 径 ， 然 后 单 击 “ 确 定 ” 按 钮 完成 主 目录 的 设置 。 

3. 地 址 绑 定 

一 个 网 站 建立 完毕 后 , 一 般 是 通过 人 P 地 址 或 域名 进行 访问 的 , 而 且 有 些 服务 器 网 卡 是 
可 以 拥有 多 个 人 P 地 址 的 ， 为 了 使 网 站 能 够 被 正确 访问 ， 应 当 正 确 设置 网 站 的 人 P 地 址 或 域 
名 。 设 置 一 个 网 站 的 地 址 或 域名 的 具体 操作 方法 如 下 : 

打开 IIS 管理 器 , 选择 欲 设置 主 目录 的 站 点 , 在 右 侧 窗口 的 “操作 ” 栏 中 单 击 “ 绑 定 ”， 
打开 “网 站 绑 定 ”对 话 框 ， 如 图 8-10 所 示 。 
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图 8-10 “网 站 绑 定 ”对 话 框 
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选中 目前 已 有 的 绑 定 设置 ， 单 击 “编辑 ”按钮 ， 打 开 “ 编 辑 网 站 绑 定 ” 对 话 框 ， 如 图 
8-11 所 示 。 
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在 “IP 地 址 ”文本 框 中 输入 访问 该 网 站 时 使 用 的 了 P 地 址 ，“ 端 口 ”部 分 不 用 修改 ， 
保留 默认 的 80 端口 。 如 果 该 网 站 拥有 域名 ， 可 以 将 域名 输入 “主机 名 ”文本 框 中 ,但 是 前 
提 是 该 域名 和 卫 已 经 被 注册 至 DNS 服务 器 。 填 写 完毕 后 ， 单 击 “ 确 定 ”按钮 完成 配置 。 

4. 默认 文档 

用 户 在 访问 网 站 时 , 一 般 只 需要 在 浏览 器 中 输入 该 网 站 的 下 地 址 或 域名 , 就 可 以 打开 
网 站 的 首页 。 那 么 服务 器 怎么 知道 哪个 网 页 才 是 默认 网 页 呢 ? Web 服务 器 均 有 定义 默认 文 
档 的 功能 ， 默 认 文 档 就 是 当 用 户 访问 时 ， 如 果 没 有 指明 要 访问 的 网 页 名 , 仅仅 使 用 了 下 地 
址 或 者 域名 ， 那 么 服务 器 将 发 送 一 个 指定 网 页 给 用 户 ， 这 个 指定 的 网 页 就 是 默认 文档 。IS 
中 设置 默认 文档 的 方法 如 下 : 

(1) 打开 IIS 管理 器 ， 选 择 要 配置 的 网 站 名 ， 在 中 间 窗 口 找到 “默认 文档 ”图 标 ， 如 图 
8-12 所 示 。 
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(2) 双击 “默认 文档 ”图 标 ， 打 开 “ 默 认 文档 ”列表 ， 如 图 8-13 所 示 。 目 前 该 网 站 中 
有 6 个 默认 文档 ， 分 别 是 Default.htm、Default.asp、index.htm、index.html、iisstart.htm 和 


default.aspx。 
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(3) 如 果 默 认 文档 数目 超过 一 个 ， 则 按照 自 上 而 下 的 顺序 依次 查找 。 如 某 网 站 的 首页 
名 为 index.htm， 当 用 户 向 服务 器 发 送 请 求 后 ， 服 务 器 首先 查找 网 站 根 目录 下 是 否 有 名 为 
Default.htm 的 网 页 文件 ， 如 果 没 有 则 查找 名 为 Default.asp 的 网 页 文件 ， 仍 然 没 有 找到 的 话 
继续 查找 名 为 index.htm 的 网 页 文件 ， 此 时 查找 成 功 ， 则 停止 查找 ， 将 该 文件 发 送 给 用 户 ， 
即使 网 站 根 目录 中 有 名 为 default.aspx 的 网 页 文件 也 不 会 将 其 发 送 给 用 户 。 当 一 个 默认 文档 
名 被 选中 ， 右 侧 窗 口中 出 现 了 “操作 ” 栏 ， 管 理 员 可 以 单 击 “ 上 移 ” 或 “下 移 ” 选 项 以 改 
变 多 个 默认 文档 名 之 间 的 顺序 ， 也 可 以 单 击 “ 删 除 ” 按 钮 ， 删 除 选中 的 默认 文档 名 。 如 果 
设计 网 站 时 使 用 的 首页 名 不 是 当前 默认 文档 名 中 的 一 个 , 可 以 单 击 “ 添 加 ”选项 , 打开 “ 添 
加 默认 文档 ”对 话 框 ， 如 图 8-14 所 示 。 
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图 8-14 “添加 默认 文档 ”对 话 框 


(4) 在 “名 称 ”文本 框 中 输入 需要 添加 的 默认 文档 名 ， 然 后 单 击 “ 确 定 ”按钮 即 可 完 
成 设置 。 


8.2 ”Web 服务 器 的 管理 


8.2.1 Web 网 站 的 访问 安全 


HS 中 的 Web 网 站 默认 情况 下 是 允许 匿名 访问 的 ， 如 果 是 Internet 上 的 网 站 ， 必 须 允 
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许 匿 名 访问 ， 否 则 会 造成 很 多 不 必要 的 麻烦 。 但 在 其 他 网 络 中 ， 如 大 型 企业 中 ， 往 往 各 部 
门 有 自己 的 网 站 ， 其 他 部 门 的 职员 是 不 能 访问 的 ， 此 时 需要 禁用 匿名 访问 ， 限 制 用 户 的 访 


问 。 限 制 访问 可 以 从 访问 限制 、 地 址 限制 两 个 方面 入 手 进行 基本 安全 设置 。 
访问 设置 的 操作 方法 如 下 : 
(1) 在 JS 管理 器 中 选中 欲 设 置 的 Web 站 点 ， 如 图 8-15 所 示 。 
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图 8-15 IIS 管理 器 界面 


(2) 双击 “身份 验证 ”图 标 ， 打 开 “ 身 份 验证 ”设置 界面 ， 如 图 8-16 所 示 。 
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G) 目前 该 Web 站 点 允许 匿名 访问 ， 在 “匿名 身份 验证 ”上 右 击 ， 在 弹出 的 快捷 菜单 


中 选择 “禁用 ”命令 ， 匿 名 访问 被 禁止 。 


“226 Windows Server 2008 系统 管理 


(4) 禁止 匿名 访问 后 ， 就 可 以 设置 身份 验证 了 。IIS 中 提供 的 身份 验证 有 3 种 ， 分 别 是 
基本 验证 、Windows 身份 验证 和 摘要 身份 验证 。Windows Server 2008 中 在 默认 状态 下 没有 
安装 身份 验证 工具 ， 需 要 手工 添加 。 在 “服务 器 管理 器 ”中 展开 “角色 ”节点 ， 选 择 “Web 
服务 器 (TS)”， 单 击 “ 添 加 角色 服务 ”， 打 开 “ 选 择 角 色 服 务 ” 界 面 ， 如 图 8-17 所 示 。 


注 加 人 角色 服务 | 


PF 选 怪 角 色 服 务 


为 Ya 服 和 千 ) 实生 包 台 和 
包 生 p 和 0) 


东 时 到 


[= | _ un 
图 8-17 “选择 角色 服务 ”界面 


(5) 在 “安全 性 ”选项 中 选择 “基本 身份 验证 ”、“Windows 身份 验证 ”、“ 摘 要 式 
身份 验证 ”3 项 ， 此 外 还 可 以 选中 “IP 和 域 限制 ”， 以 进行 使 用 人 P 地 址 的 限制 。 然 后 单 击 
“下 一 步 ”按钮 ， 根 据 向 导 提示 ， 即 可 完成 安装 。3 种 身份 验证 的 含义 分 别 如 下 。 

e 基本 身份 验证 : 这 种 验证 方法 会 使 登录 用 户 “ 模 仿 ” 为 一 个 本 地 用 户 访问 服务 器 ， 
用 于 基本 身份 验证 的 Windows 用 户 必须 具有 “本 地 登录 ”的 用 户 权 限 。“ 基 本 身 
份 验证 ”与 浏览 器 良好 兼容 。 这 种 身份 验证 方法 适合 于 小 型 内 部 网 络 ， 在 公共 
Intemet 上 很 少 使 用 。 基 本 身份 验证 的 主要 缺点 是 : 它 使 用 可 被 轻易 解密 的 算法 在 
网 络 上 传输 密码 。 如 果 这 些 密码 被 截获 ， 破 译 它们 将 十 分 容易 。 建 议 将 SSL 与 基 
本 身份 验证 一 起 使 用 。 

Windows 身份 验证 : 对 于 内 部 网 站 ，Windows 身份 验证 是 一 种 低 成 本 的 身份 验证 解 

决 方案 ， 同 时 用 户 使 用 时 只 需 使 用 正确 的 用 户 名 和 密码 登录 自己 的 计算 机 即 可 ， 其 

他 操作 对 于 用 户 来 说 是 透明 的 ， 降 低 了 使 用 难度 。 这 种 身份 验证 方案 允许 Windows 

域 中 的 管理 员 利 用 域 基础 结构 来 对 用 户 进行 身份 验证 ， 而 且 登 录 时 的 用 户 名 和 密码 

是 经 过 加 密 处 理 才 发 送 到 服务 器 的 , 因此 安全 性 更 高 。 如果 必须 对 其 进行 身份 验证 

的 用 户 从 防火 墙 和 代理 服务 器 后 访问 网 站 ， 则 不 能 使 用 Windows 身份 验证 。 

。 摘要 式 身份 验证 : 使 用 摘要 式 身 份 验证 方式 时 , 会 将 密码 哈 希 发 送 到 Windows 域 
控制 器 以 对 用 户 进行 身份 验证 。 当 需要 比 基 本 身份 验证 更 高 的 安全 性 时 ， 可 以 考虑 
考虑 使 用 摘要 式 身份 验证 。 如 果 必 须 对 其 进行 身份 验证 的 用 户 从 防火 墙 和 代理 服务 
器 后 访问 网 站 ， 摘 要 是 一 种 比 Windows 身份 验证 更 好 的 身份 验证 方式 。 
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(6) 安装 完毕 后 , 打开 IIS 管理 器 , 打开 要 进行 设置 的 网 站 的 身份 验证 界面 ， 对 于 需要 
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(7) 打开 IIS 管理 器 , 选中 要 进行 设置 的 网 站 , 双击 窗口 中 间 的 “IPV4 地 址 和 域 限制 ”， 
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图 8-19 “IPV4 地 址 和 域 限制 ”界面 
(8) 单 击 “ 添 加 允许 条 目 ”， 打 开 “ 添 加 允许 限制 规则 ”对 话 框 ， 如 图 8-20 所 示 。 


水 加 允许 限制 规则 了 xl 
允许 访问 以 下 IPv4 地 址 或 域名 : 
特定 IPv4 地 址 GS): 
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图 8-20 “添加 允许 限制 规则 ”对 话 框 


(9) 如 果 允 许 特定 他 访问 网 站 ， 则 在 “特定 IPv4 地 址 ”文本 框 中 输入 指定 全 ， 如 果 
允许 一 个 人 P 地 址 段 访问 网 站 ， 则 在 “IPv4 地 址 范围 ”文本 框 中 输入 人 P 地 址 和 子 网 掩 码 即 
可 。 输 入 完毕 后 ， 单 击 “ 确 认 ” 按 钮 以 添加 规则 ， 可 以 添加 多 条 规则 。 

(10) 如 果 不 允 许 某 个 或 某 些 他 地址 访问 网 站 ,可 以 单 击 “ 添 加 拒绝 条 目 ”, 在 打开 的 

“添加 拒绝 限制 规则 ”对 话 框 中 输入 人 P 地 址 或 他 地 址 段 ， 操 作 方 法 和 添加 允许 访问 的 中 
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的 方法 相同 ， 这 里 不 再 熬 述 。 
8.2.2 ”虚拟 目录 的 配置 


虚拟 目录 并 不 是 说 该 目录 是 虚拟 的 ， 而 是 指 其 目录 名 是 虚拟 的 ， 目 录 本 身 仍然 存在 。 
在 访问 网 站 时 ， 有 时 会 看 到 这 样 的 网 址 : http://sports.sohu.com/20110811/n316044615.shtml, 
在 这 个 网 址 中 ，20110811 就 是 一 个 目录 的 名 称 ， 该 网 址 表示 现在 访问 的 是 网 站 sports.sohu. 
com 中 20110811 目录 下 的 n316044615.shtml 网 页 。 但 是 20110811 仅仅 是 用 户 看 到 的 目录 
名 称 ， 不 一 定 是 真实 的 目录 名 称 ， 这 就 是 虚拟 目录 。 虚 拟 目 录 的 作用 是 通过 虚拟 路 径 将 存 
储 在 不 同位 置 的 文件 和 文件 夹 纳入 到 同一 个 网 站 下 进行 访问 和 管理 。 如 一 个 网 站 的 网 址 为 
www.abcd.com， 这 个 网 站 包含 两 个 文件 夹 ， 即 存储 于 D 盘 的 文件 夹 A 和 存储 于 了 盘 的 文 
件 夹 B， 那 么 可 以 通过 虚拟 目录 ,用户 在 访问 网 站 时 ,可 以 通过 www.abcd.com/A 和 www. 
abcd.conyB 来 访问 两 个 文件 夹 下 的 网 页 ， 而 不 需要 知道 它们 的 具体 路 径 。 同 时 虚拟 目录 可 
以 避免 黑客 通过 访问 网 页 而 推测 出 网 站 中 网 页 文件 的 存储 结构 ， 可 以 增加 安全 性 。 

虚拟 目录 可 以 在 任何 一 个 网 站 (包括 虚拟 网 站 ) 中 创建 ， 每 个 网 站 也 可 以 创建 多 个 虚拟 
目录 。 


创建 和 管理 虚拟 目录 的 方法 如 下 : 
(1) 打开 IIS 管理， 在 要 添加 虚拟 目录 的 网 站 上 右 击 ， 如 图 8-21 所 示 。 
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(2) 选择 快捷 菜单 中 的 “添加 虚拟 目录 ”命令 ， 打 开 “ 添 加 虚拟 目录 ”对 话 框 ， 如 
图 8-22 所 示 。 
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图 8-22 “添加 虚拟 目录 ”对 话 框 


G) 在 “别名 ”文本 框 中 输入 虚拟 目录 的 名 称 ，“ 物 理 路 径 ” 文 本 框 中 输入 真实 文件 
夹 的 路 径 ， 然 后 单 击 “ 确 定 ”按钮 ， 完 成 创建 虚拟 目录 。 在 本 例 中 ， 网 站 的 主 目录 在 C 盘 ， 
新 建 的 虚拟 目录 名 为 test, 将 来 用 户 如 果 访 问 该 网 站 的 test 目录 , 就 是 在 访问 Ebook 目录 ， 
这 样 就 对 用 户 屏 项 了 路 径 的 差异 ， 降 低 了 使 用 的 难度 。 

(4) 创建 好 虚拟 目录 后 ， 可 以 像 配置 网 站 一 样 配置 虚拟 目录 。 在 IS 管理 器 中 选中 要 配 
置 的 虚拟 目录 ， 此 时 IIS 管理 器 中 间 的 窗口 显示 了 可 以 配置 的 项 目 ， 如 图 8-23 所 示 。 虚 拟 
目录 也 可 以 配置 主 目录 (也 就 是 真实 目录 的 路 径 )、 默 认 文 档 、 身 份 验证 方法 等 ， 但 不 能 为 
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8.2.3 ”虚拟 网 站 的 配置 


在 正常 情况 下 , 一 个 卫 对 应 着 一 个 网 站 , 如 果 想 在 一 台 服 务 器 上 运行 多 个 网 站 就 需要 
有 多 个 他 地址 ,但 这 样 会 造成 资源 的 极 大 浪费 ， 并 会 使 硬件 平台 复杂 化 ， 增 加 管理 和 维护 
的 难度 。 在 Windows Server 2008 中 ， 可 以 在 同一 台 服务 器 , 使 用 有 限 个 人 P 地 址 的 情况 下 ， 
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创建 多 个 网 站 ， 而 不 发 生 冲突 。 由 于 这 些 位 于 同一 服务 器 上 的 网 站 在 用 户 看 起 来 好 像 是 位 
于 不 同 服务 器 ， 是 相互 独立 的 ， 因 此 被 称 为 虚拟 网 站 。 

创建 虚拟 网 站 的 方法 如 下 : 

(D 在 JS 管理 器 中 右 击 “ 网 站 ”节点 ， 如 图 8-24 所 示 。 


RE Le 
EE 轨 人 0 


XA) WE MO 


Peer ‖ 时 R FT 
= 本 :mmo cmmmelvev Ma ES el OV 
ne ] Om 
i St Ws | we 
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(2) 选择 “添加 网 站 ”命令 ， 打 开 “ 添 加 网 站 ”对 话 框 ， 如 图 8-25 所 示 。 


Esc 2 
名 称 BE) 言 阳 征 译 汉中 
est site es se 洪 择 C). 
一 上 目录 
OD): 本 | 
ee 

仿 

连 搞 为 人 )..， 沽 式 设 秆 人 

基 &m: 。 理 地 址 中- 端口 0) 

| TE 

主轴 名 0 

| 
示 出 ; wwev. centoss, con 惑 mazketing centoss. com 


FS iN) 


CE J = | 


图 8-25 “添加 网 站 ”对 话 框 


G) 在 “添加 网 站 ”对 话 框 中 ，“ 网 站 名 称 ” 文 本 框 用 于 输入 网 站 的 名 称 ， 该 名 称 用 
于 标识 一 个 网 站 , 便于 管理 员 区 分 和 管理 :; “物理 路 径 ” 文 本 框 用 于 指定 该 网 站 的 主 目录 ; 
“类 型 ”选项 用 于 指定 访问 该 网 站 时 使 用 的 连接 类 型 ，“http” 表 示 一 般 网 站 的 连接 方式 ， 
“https” 表 示 使 用 安全 连接 访问 网 站 ， 如 使 用 SSL 技术 的 网 站 ; “IP 地 址 ”文本 框 用 于 输 
入 访问 该 网 站 时 使 用 的 下 地址 ;“ 端 口 ” 文 本 框 用 于 输入 访问 该 网 站 时 使 用 的 端口 号 ;“ 主 
机 名 ”文本 框 用 于 输入 该 网 站 的 域名 。 填 写 完毕 后 ， 单 击 “ 确 定 ”按钮 完成 创建 虚拟 网 站 。 

那么 ， 如 何 设置 才能 区 分 同一 台 服 务 器 上 的 不 同 网 站 呢 ? 有 3 种 方法 : 一 是 下 地 址 ， 
二 是 端口 号 ， 三 是 域名 。 因 此 只 要 一 个 网 站 的 这 3 个 信息 中 有 一 个 和 别 的 网 站 设置 不 同 ， 
就 可 以 将 它们 区 分 开 来 。 

如 果 一 台 服 务 器 拥有 多 个 P 地 址 ， 为 每 个 虚拟 网 站 分 配 一 个 人 P 地 址 即 可 。 但 这 样 做 
一 般 不 能 充分 发 挥 服务 器 的 性 能 ， 也 不 能 完全 利用 服务 器 的 资源 。 

如 果 一 台 服 务 器 只 有 一 个 下 地 址 , 为 每 个 虚拟 网 站 设 定 一 个 端口 号 即 可 。 由 于 网 页 浏 
览 服务 的 默认 端口 号 是 80， 因 此 当 在 浏览 器 中 输入 一 个 网 站 的 人 P 地 址 或 域名 ， 浏 览 器 就 
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使 用 80 端口 向 服务 器 申请 网 页 浏览 服务 , 这 个 过 程 中 用 户 不 需要 再 指定 使 用 哪个 端口 访问 
网 站 。 如 果 虚 拟 网 站 的 端口 被 配置 成 非 80 端口 , 可 以 将 该 网 站 和 同一 服务 器 上 的 其 他 网 站 
区 分 开 来 ， 但 是 要 注意 两 个 问题 : 一 是 虚拟 网 站 的 端口 号 不 能 和 其 他 服务 的 默认 端口 号 冲 
突 ; 二 是 设置 完毕 后 ， 当 用 户 访问 虚拟 网 站 时 ， 要 注 明 端口 号 ， 如 一 个 虚拟 网 站 的 他 地址 
是 192.169.5.2， 域 名 是 www.abcd.com， 端 口 是 8000， 访 问 时 应 在 浏览 器 的 地 址 栏 中 输入 
http://192.168.5.2:8000， 或 者 http://www.abcd.com:8000。 这 种 方法 在 服务 器 上 的 虚拟 网 站 
较 少 时 可 以 使 用 ， 如 果 虚 拟 网 站 较 多 ， 如 何 记 下 不 同 网 站 的 不 同 端口 号 将 是 一 个 难以 解决 
的 问题 。 

如 果 服 务 器 只 有 一 个 卫 地 址 ， 又 不 想 将 不 同 虚拟 网 站 设置 成 不 同 的 端口 号 ， 可 以 为 不 
同 的 虚拟 网 站 设置 不 同 的 域名 , 即 主机 名 。 这样 做 的 好 处 是 每 个 网 站 都 拥有 自己 的 主机 名 ， 
便于 记忆 ， 使 用 方便 ， 但 前 提 是 将 所 有 虚拟 网 站 的 域名 和 卫 地 址 注册 到 DNS 服务 器 中 。 


8.3 搭建 SSL Web 网 站 


- 般 网 站 在 传输 数据 时 采用 明文 传送 ， 这 样 的 传送 方式 很 容易 导致 数据 被 截获 和 算 
改 ， 这 是 由 HTTP 协议 本 身 决定 的 。 为 了 提高 安全 性 ， 可 以 在 服务 器 上 配置 SSL(Secure 
Socket Layer， 安 全 套 接 字 层 )。SSL 是 一 种 利用 证 书 对 数据 进行 加 密 的 技术 ， 使 用 SSL 将 
数据 加 密 ， 然 后 再 将 加 密 后 的 数据 发 送 给 用 户 ， 用 户 的 计算 机 利用 证 书 再 将 数据 解密 ， 从 
而 保证 数据 在 传输 过 程 中 不 被 窃取 和 算 改 。 用 户 访问 使 用 了 SSL 技术 的 网 站 时 ,在 浏览 器 
地 址 栏 中 要 使 用 “https:// 网 站 地 址 或 域名 ”这 样 的 格式 来 访问 。 


8.3.1 创建 SSL 证 书 


SSL 是 利用 证 书 进行 数据 加 密 的 ， 因 此 要 使 用 SSL， 服 务 器 端 必须 创建 用 于 SSL 加 密 
的 证 书 。 证 书包 含 了 有 关 服 务 器 的 信息 ， 服 务 器 允许 客户 在 共享 敏感 信息 之 前 对 其 加 以 识 
别 。IIS 只 有 安装 了 有 效 服 务 器 证 书后 才能 提供 安全 通信 服务 。 

在 IIS 中 使 用 SSL 的 操作 步骤 如 下 : 

(D 打开 IIS 管理 器 ,在 左 侧 窗口 中 选择 服务 器 名 称 ,然后 在 中 间 窗 口 找到 “服务 器 证 
书 ” 图 标 并 双击 ， 打 开 “ 服 务 器 证 书 ” 窗 口 ， 如 图 8-26 所 示 。 
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图 8-26 “服务 器 证 书 ” 界 面 
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(2) 目前 还 没有 任何 证 书 ， 如 果 服 务 器 上 保存 有 以 前 创建 好 的 证 书 ， 可 以 单 击 “ 导 入 ” 
选项 将 以 前 的 证 书 导 入 到 IS 中 。 如 果 以 前 没有 证 书 ， 单 击 “ 创 建 证 书 申请 ”， 可 以 向 有 
关 认 证 机 构 申 请 证 书 。 也 可 以 单 击 “ 创 建 自 签名 证 书 ”， 打开“ 创建 自 签名 证 书 ” 对 话 框 ， 
如 图 8-27 所 示 。 


Cee] wa | 
图 8-27 “创建 自 签名 证 书 ” 对 话 框 


G) 输入 证 书 的 名 称 后 ， 单 击 “ 确 定 ” 按 钮 ， 证 书 创建 完毕 ， 并 自动 导入 到 IS， 显 示 
在 证 书 列表 中 ， 如 图 8-28 所 示 。 
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图 8-28 “服务 器 证 书 ” 界 面 


(4) 选中 创建 好 的 证 书 ， 单 击 右 侧 窗口 的 “查看 ”， 打 开 “ 证 书 ” 对 话 框 ， 如 图 8-29 
所 示 。 在 该 对 话 框 中 ， 显 示 了 证 书 的 名 称 、 颁 发 者 、 颁 发 给 、 到 期 日 期 和 证 书 哈 希 等 信息 。 
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图 8-29 “证书” 对话 框 
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8.3.2 创建 SSL 网 站 


创建 完 SSL 证 书 并 导入 ITS 以 后 ， 就 可 以 创建 HITPS 网 站 了 。 但 是 不 能 先 创 建 HTTP 
网 站 ， 再 创建 SSL 证 书 ， 然 后 将 HTTP 网 站 的 通信 协议 改 为 HTTPS。 

创建 HITPS 网 站 的 步骤 如 下 : 

(1) 打开 IIS 管理 器 ,在 左 侧 窗口 中 的 “网 站 ”节点 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 
“添加 网 站 ”命令 ， 打 开 “ 添 加 网 站 ”对 话 框 ， 如 图 8-30 所 示 。 


图 8-30 “添加 网 站 ”对 话 框 


(2) 需要 输入 的 主要 内 容 和 创建 虚拟 网 站 时 一 样 , 这 里 不 再 袭 述 。 需 要 注意 的 是 , “类 
型 ”应 选择 为 “https”， 端 口 不 要 修改 ， 使 用 默认 的 “443 ”端口 ， 这 是 HTTPS 使 用 的 端 
口 ， 和 HTTP 使 用 的 80 端口 不 同 ; “SSL 证 书 ” 则 从 下 拉 列 表 中 选择 创建 好 的 SSL 证 书 。 
然后 单 击 “ 确 定 ” 按 钮 完成 网 站 创建 。 

(3) 在 IS 左 侧 窗口 中 选中 创建 好 的 HTTPS 网 站 ， 在 中 间 窗 口中 双击 “SSL 设置 ”图 
标 ， 打开“SSL 设置 ”界面 ， 如 图 8-31 所 示 。 
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8-31 “SSL 设置 ”界面 


(4) 选中 “要 求 SSL” 复 选 框 ， 此 时 启用 SSL 加 密 数 据 ， 但 是 采用 的 是 安全 性 较 低 的 
40 位 加 密 方法 ， 如 果 想 提高 数据 安全 性 ， 可 以 再 选中 “需要 128 位 SSL” 复 选 框 。 在 “ 客 
户 证 书 ” 选 项 中 ， 有 3 个 选项 可 供 选 择 。 

e 忽略 : 系统 默认 设置 ， 如 果 提 供 客户 端 证 书 ， 则 不 会 被 接受 ， 也 就 是 说 ， 没 有 安全 
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验证 ， 这 种 设置 安全 性 最 低 。 

e 接受 : 启用 服务 器 端的 SSL 设置 ， 并 接受 客户 端 证 书 ， 在 允许 客户 端 获得 内 容 访 
问 权 限 之 前 验证 客户 身份 。 建 议 采 用 此 选项 。 

e 必需 : 在 接受 访问 之 前 客户 端 必须 提供 证 书 ， 用 于 验证 客户 端的 身份 是 否 合法 ， 安 
全 性 最 高 。 

(5) 设置 完毕 后 ， 单 击 右 侧 窗 口 的 “应 用 ”， 完 成 设置 。 


8.3.3 访问 SSL 网 站 


用 户 访问 SSL 网 站 与 访问 普通 网 站 稍 有 不 同 。 首 先 ， 使 用 SSL 技术 的 网 站 的 网 址 是 
以 https:// 开 头 的 ; 第 二 ,用户 必 须 能 够 连接 到 站 点 指定 的 证 书 服务 器 ， 以 获取 相应 的 证 书 。 
其 他 方面 和 访问 普通 网 站 相同 ， 这 里 不 再 袭 述 。 


8.4 本 章 小 结 


本 章 介绍 了 如 何在 Windows Server 2008 上 使 用 IS 7 搭建 网 站 的 基本 方法 ， 通 过 IS， 
用 户 可 以 自己 搭建 网 站 ， 对 外 发 布 信息 ， 实 现 对 外 的 信息 交流 。 如 果 用 户 对 安全 性 要 求 较 
高 ， 则 可 以 限制 访问 的 帐户 和 下 地 址 ， 也 可 以 使 用 SSL 协议 提高 网 站 的 安全 性 。 

(1) Web 服务 的 搭建 与 配置 : 本 节 介绍 了 安装 和 简单 配置 IS 的 方法 ， 通 过 本 节 学 习 ， 
学 生 可 以 掌握 使 用 IS 搭建 网 站 的 基本 方法 ， 并 可 以 启动 、 停 止 和 重启 网 站 。 

(2) Web 服务 器 的 管理 ， 本 节 介 绍 了 IIS 的 基本 管理 , 通过 本 节 学 习 ， 学 生 可 以 控制 访 
问 网 站 的 身份 和 下 地址 ， 限 制 不 安全 因素 ,提升 网 站 安全 性 ， 还 可 以 创建 虚拟 目录 和 虚拟 
站 点 ， 在 同一 台 服 务 器 上 设置 多 个 目录 和 站 点 ， 提 高 硬件 的 利用 效率 。 

(3) 搭建 SSL Web 网 站 : 本 节 介 绍 了 网 站 通过 采用 SSL 技术 提高 安全 性 的 方法 , 通过 

章 学 习 ,学 生 可 以 使 用 SSL 协议 搭建 更 加 安全 的 网 站 ,访问 使 用 了 SSL 协议 的 安全 网 站 。 


8.5 思考 与 练习 


【思考 题 】 

1. 创建 虚拟 站 点 的 意义 是 什么 ? 

2. 如 何 提高 网 站 的 安全 性 ? 

3. 什么 是 主 目录 ， 什 么 是 虚拟 目录 ， 两 者 有 什么 联系 ? 

4. 如 果 创 建 网 站 时 没有 指定 默认 文档 ， 是 否 可 以 访问 这 个 网 站 中 的 网 页 ?该 如 何 


第 8 章 ”Web 服务 


【练习 题 】 
1. 创建 网 站 的 虚拟 目录 (参考 8.2.2 节 )。 
2. 为 网 站 SSL 安装 数字 证 书 (参考 8.3.1 节 )。 


et 
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【本 章 导 读 】 

FTP 服务 是 网 络 中 历史 最 悠久 也 是 最 常见 的 服务 之 一 ， 尤 其 是 在 局 域 网 中 ， 因 具有 速 
度 快 、 安 全 性 好 的 优点 ， 是 文件 共享 的 首选 方式 。Windows Server 2008 中 的 IIS 组 件 不 仅 
可 以 提供 Web 服务 ， 还 可 以 提供 FTP 服务 。 即 允许 客户 下 载 服务 器 上 的 文件 ， 也 允许 客 
户 上 传 文件 到 服务 器 ， 还 可 以 通过 FTP 服务 来 维护 Web 网 站 中 的 文件 。 


9.1 FTP 服务 器 的 安装 与 配置 


FTP(File Transfer Protocol) 是 文件 传输 协议 的 简称 , 是 一 种 在 网 络 中 不 同 计算 机 系统 之 
间 传输 文件 的 协议 。 通 过 FTP 服务 ， 客 户 可 以 从 服务 器 上 下 载 文件 ， 也 可 以 将 自己 的 文件 
上 传 至 服务 器 和 其 他 客户 共享 。 


9.1.1 FTP 服务 的 安装 


在 Windows Server 2008 中 ，FTP 在 默认 状态 下 并 没有 安装 ， 也 不 是 一 个 独立 的 服务 ， 
而 是 IIS 中 的 一 个 服务 组 件 。 要 使 服务 器 提供 FTP 服务 ， 首 先 要 安装 相关 组 件 。 前 面 章节 
中 已 经 安装 了 IS 7， 本 章 在 此 基础 上 添加 FTP 组 件 。 步 骤 如 下 : 

(1) 打开 服务 器 管理 器 ， 选择 左 侧 窗 口中 的 “角色 ”节点 ， 然 后 单 击 右 侧 窗口 中 “Web 
服务 器 (ITS)” 右 侧 的 “添加 角色 服务 ”， 打 开 添加 角色 向 导 ， 如 图 9-1 所 示 。 
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图 9-1 “选择 角色 服务 ”界面 
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(2) 选中 最 下 方 的 “FTP 发 布 服 务 ” 及 其 子 项 ， 其 间 会 有 对 话 框 提示 要 安装 IIS6 的 兼 
容 组 件 ， 单 击 “ 添 加 必需 的 角色 服务 ”按钮 即 可 。 然 后 单 击 “ 下 一 步 ”按钮 ， 进 入“ 确认” 
界面 ， 单 击 “ 安 装 ” 按 钮 ， 等 待 几 分 钟 后 ， 安 装 完毕 。 

Windows Server 2008 系统 的 IIS 7 中 并 没有 FTP 服务 ， 因 此 在 安装 FTP 功能 时 要 安装 
老 版 本 的 IIS 6 管理 工具 ， 将 来 对 FTP 服务 进行 配置 时 也 是 在 HS 6 管理 界面 下 完成 的 。 


9.1.2 FTP 服务 的 基本 配置 


FTP 服务 安装 好 后 , 系统 中 已 经 有 了 一 个 FTP 站点, 本 节 以 此 站 点 为 例 讲解 FTP 服务 
的 基本 配置 。 步 骤 如 下 : 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “Intemet 信息 服务 (IIS)6.0 管理 器 ”， 展 开 
FTP 站 点 ， 如 图 9-2 所 示 。 
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图 9-2 “TIS6.0 管理 器 ”界面 


(2) 在 默认 站 点 “Default FTP Site” 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “启动 ”命令 ， 
启动 该 FTP 站 点 。 如 果 在 站 点 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “停止 ”命令 ， 则 可 以 停 
止 FTP 站 点 的 运行 。 在 启动 后 的 站 点 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 
开 FTP 站 点 的 属性 对 话 框 ， 如 图 9-3 所 示 。 
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图 9-3 “FTP 站 点 ”选项 卡 


G3) 在 “FTP 站 点 ”选项 卡 中 ， 可 以 设置 FTP 站 点 的 基本 信息 。 具 体 设 置 选项 如 下 。 
e “描述 ”文本 框 : 设置 该 FTP 站 点 的 名 称 ， 仅 供 管理 员 管 理 区 分 不 同 的 站 点 。 
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e “JP 地 址 ”下 拉 列 表 框 : 默认 情况 下 显示 “全 部 未 分 配 ”， 管 理 员 可 以 单 击 下 拉 
列表 框 ， 从 中 选择 一 个 服务 器 的 瑟 地 址 分 配给 当前 的 FTP 站 点 ， 将 来 用 户 可 以 使 


用 分 配 好 的 下 地 址 访问 该 站 点 。 
e “TCP 端口 ”文本 框 : 用 于 设置 访问 当前 FTP 站 点 时 使 用 的 端口 号 。FTP 服务 的 
默认 端口 是 21。 


。 “FTP 站 点 连接 ”选项 组 : FTP 服务 用 于 在 网 络 上 传输 文件 ， 如 果 有 多 个 用 户 同时 
使 用 FTP 传输 文件 ， 会 占用 大 量 系统 资源 和 网 络 带宽 ， 影 响 了 服务 器 上 其 他 服务 
的 正常 运行 。 尤 其 是 在 一 些 中 小 企业 中 ， 由 于 成 本 控制 需要 ,往往 在 一 台 服 务 器 上 
运行 了 WWW 服务 、FTP 服务 、 电 子 邮 件 服务 等 ， 如 果 FTP 服务 占用 了 过 多 的 计 
算 机 资源 和 带宽 , 会 导致 其 他 服务 不 能 正常 运行 。 因此， 可 以 对 网 络 上 的 通信 连接 
进行 限制 。 如 果 不 需 要 对 连接 数 进行 设置 ， 选 择 “ 不 受 限制 ”选项 ， 如 果 需 要 限制 
连接 数 ， 选 择 “ 连 接 数 限制 为 ”选项 ， 并 在 其 后 文本 框 中 输入 最 大 连接 数 ， 当 连接 
数 超过 最 大 连接 数 时 ,服务 器 会 对 后 来 的 连接 请 求 进行 限制 : 有 时 会 有 用 户 连接 到 
服务 器 后 却 不 释放 连接 , 这 对 后 来 申请 连接 的 用 户 会 有 不 良 影响 , 因此 应 当选 择 “ 连 
接 超 时 ”， 并 在 对 应 的 文本 框 中 输入 一 个 时 间 ， 当 用 户 连接 到 FTP 服务 器 后 ， 若 
在 指定 时 间 内 没有 任何 动作 ， 服 务 器 则 自动 释放 该 连接 。 

(4) 设置 完 “FTP 站 点 ”选项 卡 后 ， 单 击 打开 “消息 ”选项 卡 ， 如 图 9-4 所 示 。 
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图 9-4 “消息 ”选项 卡 


(5) “消息 ”选项 卡 用 于 设置 登录 信息 ， 当 用 户 登 录 、 退 出 或 无 法 连接 时 给 出 相应 的 
提示 信息 ， 各 选项 的 作用 分 别 如 下 。 

。 “横幅 ”文本 框 : 用 户 连 接 到 FTP 服务 器 时 所 显示 的 信息 ， 通 常 是 FTP 站 点 的 
名 称 。 

e “欢迎 ”文本 框 : 用 户 连 接 到 服务 器 后 所 显示 的 信息 ， 通 常 包括 向 用 户 致意 、 使 用 
该 FTP 站 点 时 应 注意 的 问题 、 管 理 者 的 联系 方式 、 上 传 下 载 的 规则 说 明 等 信息 。 

。 “退出 ”文本 框 ， 当 用 户 从 FTP 服务 器 退出 时 显示 的 信息 ， 通 常 是 欢迎 再 次 访问 
等 内 容 。 
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。 “最 大 连接 数 ”文本 框 : 当 连 接 到 服务 器 的 连接 数 已 达 服 务 器 设置 的 上 限 ， 还 继续 
有 用 户 连接 时 会 导致 连接 失败 ， 此 时 服务 器 将 向 用 户 说 明 情况 并 显示 提示 信息 。 
(6) 配置 完毕 后 ， 单 击 打开 “ 主 目录 ”选项 卡 ， 如 图 9-5 所 示 。 


CJ ww | en | wm | 
图 9-5 “ 主 目录 ”选项 卡 


(7) “ 主 目录 ”选项 卡 用 于 设置 FTP 站 点 的 根 目录 ， 即 保存 FTP 站 点 中 所 有 文件 夹 和 
文件 的 目录 ， 一 般 在 服务 器 本 地 磁盘 中 ， 也 可 以 设置 到 另 一 台 计 算 机 上 的 磁盘 中 。 当 用 户 
访问 FTP 站 点 时 ， 实 际 上 就 是 访问 FTP 站 点 的 主 目录 。 首 先 选中 “此 计算 机 上 的 目录 ”， 
然后 在 “FTP 站 点 目录 ”的 “本 地 路 径 ” 文 本 框 中 输入 主 目录 路 径 ， 然 后 根据 需要 选择 “ 读 
取 ” 和 “ 写 入 ”权限 。 选 中 “ 读 取 ” 复 选 框 ， 表 示 用 户 可 以 从 服务 器 上 下 载 文件 或 文件 夹 ; 
选择 “ 写 入 ” 复 选 框 ， 表 示 用 户 可 以 向 服务 器 上 传 文件 或 文件 夹 ; 选择 “记录 访问 ” 复 选 
框 ， 表 示 开 启 日 志 功能 ， 所 有 活动 都 将 记录 入 日 志 。 设 置 完毕 后 ， 单 击 “确定 ”按钮 ， 完 
成 FTP 站 点 的 基本 设置 。 


9.2 为 FTP 设置 NTFS 访问 权限 


IIS 中 对 FTP 站 点 的 权限 设置 选项 较 少 ， 只 有 读 取 和 写 入 两 种 ， 并 且 默 认 本 地 服务 器 
和 域 中 所 有 用 户 都 具有 访问 权限 。 为 了 提高 权限 设置 的 灵活 性 , 管理 员 可 以 将 FTP 服务 器 
与 NTFS 文件 系统 的 权限 管理 结合 起 来 ， 从 而 进行 更 细致 的 权限 设置 ， 以 满足 不 同 用 户 的 


9.2.1 取消 继承 关系 


为 了 提高 FTP 站 点 主 目 录 的 安全 性 ， 首 先 应 当 将 能 够 访问 主 目录 而 又 非 IS 指定 的 用 
户 删除 。 但 是 FTP 站 点 的 主 目录 往往 是 某 个 目录 的 子 目 录 , 或 者 某 个 卷 的 目录 ， 这样 它 会 
从 父 目 录 或 者 所 在 卷 继承 一 些 NTFS 权限 ， 即 子 目录 的 NTFS 权限 和 父 目录 的 NTFS 权限 
设置 是 相同 的 ， 这 就 导致 某 些 无 关 用 户 是 无 法 从 子 目录 的 权限 设置 中 排除 掉 的 。 如 果 想 排 
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除 这 些 无 关 用 户 ， 首 先 要 取消 不 同 层 次 目录 之 间 的 权限 继承 关系 。 操 作 方法 如 下 : 

(1) 打开 资源 管理 器 ， 在 FIP 站 点 主 目录 (或 虚拟 目录 对 应 的 物理 目录 ) 上 右 击 ， 从 弹 
出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “属性 ”对 话 框 ， 单 击 打 开 “ 安 全 ”选项 卡 ， 如 
图 9-6 所 示 。 


本 
音 规 | 共享 。 安全 | 以 前 交大 | 自 定义 | 
对 象 玉 :5 Niaetpwb\etpreot 


图 9-6 “安全 ”选项 卡 
(2) 单 击 “ 高 级 ”按钮 打开“ 高 级 安全 设置 ”对 话 框 ， 如 图 9-7 所 示 。 


ER 
重大， 了 交友 
夫子 六 作 


请 了 
RN 交替 交 伯 


图 9-7 “高 级 安全 设置 ”对 话 框 


G3) 单 击 “ 编 辑 ” 按 钮 ， 打 开 编 辑 界面 ， 对 话 框 下 方 显示 两 个 复 选 框 ， 如 图 9-8 所 示 。 


| 


EE 
博文 附 志 于 文件 二 


请 六 件 夫 于 信件 
机 地 六 从 有 件 


图 9-8 “高 级 安全 设置 ”对 话 框 的 编辑 界面 
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(4) 取消 选中 的 “包括 可 从 该 对 象 的 父 项 继承 的 权限 ” 复 选 框 ， 会 弹出 “Windows 安 
全 ”对 话 框 ， 询 问 是 否 取消 继承 ， 如 图 9-9 所 示 。 


Tindors 安全 本 x 


-要 将 以 前 应 用 的 权限 项 目 从 区 项 复制 BH 多， 请 单 击 “复制 ”。 


(5) 单 击 “删除 ”按钮 ， 确 认 删 除权 限 继承 ， 此 时 “权限 项 目 ”一 栏 中 所 有 的 用 户 均 
被 取消 ， 如 图 9-10 所 示 。 


要 坦 看 或 编 往 权限 硕 目的 详 姻 信 息 ， 请 选择 该 项 目 并 单 击 “编辑 ”* 
对 象 名 称 ， 5:Vinetpub\ftproot 


图 9-10 删除 权限 后 的 “高 级 安全 设置 ”对 话 框 
(6) 单 击 “确定 ”按钮 ， 会 弹出 “Windows 安全 ”对 话 框 ， 询 问 是 否 要 继续 取消 所 有 
用 户 的 权限 ， 如 图 9-11 所 示 。 
vindovs 安全 梧 | 
外 bl ja ft pe 没有 人 能 访问 ftproot， 


您 想 继续 19? 


[am ]_ sm | 


图 9-11 “Windows 安全 ”对 话 框 


(7) 单 击 “ 是 ”按钮 ， 返 回 “ 高 级 安全 设置 ”对 话 框 ， 再 单 击 “ 确 定 ” 按 钮 ， 返 回 到 
“安全 ”选项 卡 ， 单 击 “ 确 定 ”按钮 关闭 对 话 框 。 再 次 打开 该 目录 的 “属性 ”对 话 框 中 的 
“安全 ”选项 卡 ， 其 中 没有 任何 用 户 拥有 对 该 目录 进行 操作 的 权限 ， 如 图 9-12 所 示 。 


“242 。 Windows Server 2008 系统 管理 


| 
常规 | 共享 。 安全 | 以 前 的 版 本 | 自 定义 | 
对 铺 名 称 : C:\inetpub\ftproot 


图 9-12 “安全 ”选项 卡 


至 此 ， 已 经 将 无 关 用 户 排除 掉 了 ， 下 面 就 可 以 开始 对 相关 用 户 进行 权限 设置 了 。 
9.2.2 ”设置 用 户 权限 


经 过 上 面 的 操作 ， 只 有 系统 管理 员 拥 有 为 该 目录 分 配 NTFS 权限 的 权限 。 操 作 方法 
如 下 : 
(1) 打开 图 9-12 所 示 的 对 话 框 ， 单 击 “ 编 辑 ” 按 钮 ， 打 开 相 应 目录 的 “权限 ”对 话 框 ， 
如 图 9-13 所 示 。 
阳 ftproot 的 权限 划 | 


安全 | 
对 象 名 称 :Ci\inetpub\ftproot 


图 9-13 “ftproot 的 权限 ”对 话 框 


(2) 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 用 户 和 组 ”对 话 框 ， 并 单 击 其 中 的 “高 级 ”按钮 ， 
然后 单 击 “ 立 即 查找 ”按钮 ， 对 话 框 中 列 出 当前 系统 中 所 有 可 用 的 用 户 和 组 ， 如 图 9-14 
所 示 。 
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本 本 
Wi) 
赂 户 、 量 或 内 三 安全 主 记 区 类 开 人) 


下 放任 天 习 
ERYER-OL 
SEE-OL 


0 


SERYER-OL 


SEErEE-OL 到 


图 9-14 “选择 用 户 和 组 ”对 话 框 


(3) 在 “搜索 结果 ”列表 框 中 选择 管理 员 (Administrator) 和 Intemet 来 宾 帐 户 [USR_SERVER. 
01)， 选 择 时 可 以 按 下 Ctrl 键 同时 选择 用 户 名 ， 这 样 可 以 同时 选择 多 个 用 户 。 选 择 完毕 后 ， 
单 击 “ 确 定 ” 按 钮 ， 返 回 “ 选 择 用 户 和 组 ”对 话 框 ， 如 图 9-15 所 示 。 


图 9-15 “选择 用 户 和 组 ”对 话 框 


(4) 单 击 “确定 ”按钮 ， 返 回 “ftproot 的 权限 ”对 话 框 ， 如 图 9-16 所 示 。 
DERTTTI 加 | 


对象 名 称 ，。 5:\inatpab\ftpreet 
组 或 用 户 名 4) 


名 Internet 来 所 新 户 GEEVER-01\TUSR_SESVIR-O1 


CE 
人 iaiatratur 的 权限 0) 人 许 。 4 
RE 口 口 习 
从 口 “ 口 
读 了 生生 回 口 
列 文 件 夫 目 录 回 口 
读 取 回 口 到 
ZI 

上 取 滑 | 区 用 内 


图 9-16 “ftproot 的 权限 ”对 话 框 
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(5) 在 该 对 话 框 中 可 以 为 每 个 用 户 设置 访问 FTP 主 目录 的 权限 。 每 个 用 户 都 有 6 个 权 
限 选 项 可 供 选 择 ， 分 别 是 完全 控制 、 修 改 、 读 取 和 执行 、 列 出 文件 夹 目录 、 读 取 和 写 入 ， 
分 别 有 人 允许 和 拒绝 两 种 状态 。 选 中 相应 的 复 选 框 ， 单 击 “确定 ”按钮 即 可 完成 配置 。 一 般 
来 说 ， 管 理 员 帐 户 可 以 设置 为 “完全 控制 ”， 这 样 可 以 对 FTP 站 点 主 目录 进行 方便 的 操作 ; 
Internet 来 宾 帐 户 则 根据 FTP 站 点 为 用 户 设置 的 权限 进行 相应 的 设置 。 

(6) 如 果 想 对 该 目录 进行 更 详细 的 设置 ， 可 以 在 返回 到 “安全 ”选项 卡 后 ， 单 击 其 中 
的 “高 级 ”按钮 ， 在 打开 的 “高 级 安全 设置 ”对 话 框 中 单 击 “ 编 辑 ” 按 钮 ， 打 开 高 级 安全 
设置 界面 ， 如 图 9-17 所 示 。 


要 坦 看 或 编辑 权限 项 目的 话 节 信 息 ， 请 选择 雇 页 目 并 单 击 “编辑 ”。 


对 象 名 称 : CiVinetpdb\ftproot 
权限 项 目 9); 


添加 om E12 Wn) 


厂 包括 可 从 该 对 象 的 父 项 起 承 的 权限 0) 
厂 使 用 可 从 此 对 象 续 承 的 入 限 苦 扒 所 有 后 代 上 现 有 的 所 有 可 继承 权限 中 


开 消 网 
图 9-17 “高 级 安全 设置 ”对 话 框 


(7) 选中 一 个 用 户 ， 然 后 单 击 “ 编 辑 ” 按 钮 打开“ 权限 项 目 ” 对 话 框 ， 如 图 9-18 所 
示 。 该 对 话 框 中 有 14 种 权限 可 供 选 择 ， 以 便 进行 更 加 详细 的 设置 。 
划 


名 种 胃 EGG 更 XC) 


应 用 于 外)j 必 该 文 件 夫 , 子 文件 夫 及 文件 习 
各 限 四 : 人 许 拒绝 
完全 控制 口 口 
谊 历 文件 到 / 轨 行 立 件 器 [| 
列 册 文件 夫 / 资 了 数据 回 口 
读 取 属性 回 口 
展 属性 日 口 
B 肆 文件 /与 入 数据 口 口 
健 文件 夫 / 附 加 数据 口 口 
.属性 口 口 
写 入 扩展 属性 口 口 
用 除 子 文件 夫 及 文件 口 口 

口 口 轩 

F a 到 此 容 状 中 gd 象 全 部 青 除 ID) 

稚 理 权限 
CJ]_ 玉 | 


图 9-18 “权限 项 目 ” 对 话 框 


(8) 设置 完毕 后 ， 单 击 “ 确 定 ”按钮 ， 完 成 设置 。 
利用 NTFS 权限 和 FTP 站 点 分 配 权 限 相 结合 的 方式 ， 可 以 进行 更 加 详细 的 设置 ， 从 而 
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更 好 地 实现 来 访 用 户 的 访问 控制 。 
9.2.3 FTP 空间 使 用 限制 


FTP 服务 可 以 提供 文件 的 上 传 和 下 载 ， 允 许 用 户 从 服务 器 下 载 文件 的 同时 也 可 以 允许 
用 户 上 传 文件 到 服务 器 。 如 果 用 户 上 传 文件 过 多 ， 占 用 磁盘 空间 过 大 ,会 导致 FTP 站 点 主 
目录 所 在 的 卷 空间 不 足 ， 影 响 FTP 或 其 他 服务 的 正常 运行 ,， 因此 开启 了 上 传 权限 的 FTP 
站 点 应 当 启 用 空间 限制 功能 。 

IIS 中 的 FTP 服务 没有 空间 限制 功能 ， 因 此 要 实现 该 功能 只 能 借助 于 NTFS 文件 系统 
的 磁盘 配额 功能 。 需 要 注意 的 是 ， 在 微软 公司 的 操作 系统 使 用 的 文件 系统 中 ， 只 有 “NTFS 
文件 系统 可 以 支持 磁盘 配额 ，FAT 和 FAT32 等 文件 系统 不 支持 磁盘 配额 ， 所 以 要 实现 对 
用 户 上 传 空间 的 限制 ， 必 须 将 FTP 主 目录 (包括 虚拟 目录 ) 放 置 于 采用 NTFS 文件 系统 的 
卷 上 。 

其 体操 作 方 法 如 下 : 

(1) 打开 资源 管理 器 ， 在 FTP 主 目录 (或 虚拟 目录 ) 所 在 的 卷 上 右 击 ， 从 弹出 的 快捷 菜 
单 中 选择 “属性 ”命令 ， 再 打开 “配额 ”选项 卡 ， 如 图 9-19 所 示 。 


ETYTTEITT3 划 


图 9-19 “配额 ”选项 卡 


(2) 选中 “启用 配额 管理 ” 复 选 框 ， 如 图 9-20 所 示 。 默认 状态 下 是 不 限制 磁盘 空间 的 ， 
因此 要 选中 “将 磁盘 空间 限制 为 ” 单 选 按钮 ， 再 进行 配置 。“ 将 磁盘 空间 限制 为 ”文本 框 
中 要 输入 一 个 用 户 可 以 使 用 的 最 大 磁盘 空间 ， 后 面 的 下 拉 列 表 框 是 空间 的 单位 ，“ 将 警告 
等 级 设 为 ”文本 框 要 输入 一 个 空间 大 小 ， 这 个 值 不 能 超过 “将 磁盘 空间 限制 为 ”文本 框 中 
所 输入 的 数值 ， 否 则 将 失去 应 有 的 作用 ， 当 用 户 使 用 的 空间 超过 这 个 值 时 ， 向 用 户 发 出 
警告 。 
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EEC 本 EE 


确定 加 消 Ln 
图 9-20 “配额 ”选项 卡 


(3) 设置 完毕 后 ， 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 


9.3 ”虚拟 站 点 与 虚拟 目录 


9.3.1 虚拟 站 点 


和 Web 服务 一 样 ，IS 中 的 FTP 服务 也 提供 了 虚拟 站 点 功能 ， 可 以 在 一 台 服 务 器 上 提 
供 多 个 FTP 站 点 ， 还 可 以 对 不 同 的 FTP 站 点 进行 单独 管理 和 配置 ， 可 以 拥有 不 同 的 外 地 
址 和 端口 号 ， 可 以 为 不 同 的 用 户 设置 不 同 的 权限 ， 这 些 站 点 从 用 户 的 角度 看 就 是 相互 独立 
的 。 这 样 就 大 大 提高 了 服务 器 的 利用 率 。 

设置 虚拟 站 点 方法 如 下 : 

(1) 打开 IIS 6 管理 器 。 在 左 侧 窗口 上 的 “FTP 站 点 ”节点 上 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “新 建 ”一 “FTP 站 点 ”命令 ,打开 FTP 站 点 创建 向 导 ， 如 图 9-21 所 示 。 


Ei 
欢迎 使 用 FTP 站 点 创建 向 导 


贞 各 号 将 大 助 外 在 计算 记 上 新 建 一 个 FTT 站 点 > 


委 继续 ， 请 单 击 “ 下 一 步 "。 


EE EE 吉 王 | 
图 9-21 “FTP 站 点 创建 向 导 ” 欢 迎 界面 
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(2) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “FTP 站 点 描述 ”界面 ， 如 图 9-22 所 示 。 


ET EE 
FTP 站 点 手 述 
FTP 站 点 所 述 用 于 帮助 管理 员 识别 各 个 站 点 。 


输入 FIP 站 点 的 报 述 。 
搞 述 四 ); 
[err] 


《< 上 - 步 吕 [下 - 步 四 > 取 清 


图 9-22 “FTP 站 点 描述 ”界面 
G3) 在 “描述 ”文本 框 中 输入 对 FTP 站 点 的 描述 ， 也 就 是 该 站 点 的 名 称 。 此 处 的 描述 


信息 对 FTP 服务 本 身 没 有 影响 ， 仅 供 管理 员 维 护 使 用 。 设 置 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 
进入 “了 P 地 址 和 端口 设置 ”界面 ， 如 图 9-23 所 示 。 


芋 地 址 和 庙 口 设置 
为 FTP 站 点 指定 IP 地 址 和 庙 口 设置 。 


输入 此 FTP 站 点 使 用 的 JF 地 直 : 
Pema 可 


输入 此 FTP 站 点 的 TCP 端口 只 = 21); 


2 


— mA | 


9-23 “了 地址 和 端口 设置 ”界面 


(4) 在 “输入 此 FTP 站 点 使 用 的 下 地址 ”下 来 列表 中 选择 一 个 他 供 FTP 站 点 使 用 ， 
如 果 要 设置 多 个 站 点 ， 可 以 在 此 下 拉 列表 中 选择 不 同 的 瑟 地 址 分 配给 每 个 站 点 , 这 样 就 可 
以 通过 不 同 的 下 地 址 访问 不 同 的 FTP 站 点 ; 在 “输入 此 FTP 站 点 的 TCP 端口 ”文本 框 中 
输入 当前 FTP 站 点 提供 服务 时 使 用 的 端口 号 ， 默 认 的 端口 号 为 21。 如 果 服 务 器 拥有 的 人 ? 
地 址 有 限 ， 但 是 服务 器 上 的 FTP 站 点 较 多 ， 可 以 为 多 个 FTP 站 点 分 配 一 个 他 地址， 但 是 
不 同 的 站 点 最 好 分 配 不 同 的 端口 号 ， 这 样 可 以 通过 不 同 的 端口 访问 不 同 的 站 点 。 设 置 完毕 
后 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “FTP 用 户 隔离 ”界面 ， 如 图 9-24 所 示 。 
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划 
FTP 用 户 隔 训 
将 FIP 用 户 限制 到 他 们 自己 的 FTP 主 目录 。 


FTP 用 遍 误 防止 用 户 访问 此 FTP 站 点 上 其 他 用 户 的 FTP 主 目录 。 


二 
yt rr sheath eaey rm Ea ) 

C 用 Aetive Diraet 户 由 
A Tireetory 用 户 帐户 确认 的 PT 主 目 


《上 - 步 g[ 下 - 步 四 让 取消 


图 9-24 “FTP 用 户 隔离 ”界面 


(5) 该 界面 有 3 个 选项 ， 各 选项 的 含义 分 别 如 下 。 

e 不 隔离 用 户 : 不 启用 FTP 用 户 隔 离 ， 用 户 可 以 访问 整个 FTP 站 点 ， 适 用 于 只 提供 
文件 下 载 功能 ， 或 者 不 需要 针对 用 户 进行 数据 访问 保护 的 FTP 站 点 。 

e 隔离 用 户 : 每 个 用 户 登录 FTP 时 都 需要 验证 ， 并 限制 在 特定 的 主 目 录 中 ， 不 允许 
浏览 用 户主 目录 外 的 内 容 ， 适 用 于 为 Web 网 站 提供 的 维护 服务 ， 或 者 提供 文件 备 
份 和 存储 服务 的 服务 器 。 需 要 注意 的 是 ， 如 果 创 建 的 站 点 太 多 ， 则 会 影响 服务 器 
性 能 。 

e 用 Active Directory 隔离 用 户 : 只 能 在 域 环 境 中 应 用 ， 用 户 的 主 目录 可 放置 在 网 络 
中 的 任意 服务 器 上 。 该 模式 需要 Active Directory 服务 器 和 文件 服务 器 的 支持 ， 而 
且 只 能 在 局 域 网 中 使 用 。 

根据 需要 选择 合适 的 选项 ， 选 择 完毕 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “FTP 站 点 主 目 

录 ” 界 面 ， 如 图 9-25 所 示 。 
FTP 站 点 创建 向 导 划 | 
FTP 站 点 主 目录 
主 目录 是 FTP 内 容 子 目录 的 要 目录 。 


输入 主 目录 的 路 径 * 
路 径 O): 


Fe 测 四 


《< 上-- 步 中 取消 


图 9-25 “FTP 站 点 主 目录 ”界面 


(6) 在“ 路径” 文本 框 中 输入 当前 FTP 站 点 的 主 目录 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 进 
入 “FTP 站 点 访问 权限 ”界面 ， 如 图 9-26 所 示 。 
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FTP 站 点 创建 向 导 四 
FTP 站 点 访问 权限 
设置 此 FIP 站 点 的 访问 权限 。 


允许 下 列 权限 : 
民 该 取 @) 
TA 


单 击 " 下 一 步 " 完 成 向 导 。 


《< 上- 步 四 取消 


图 9-26 “FTP 站 点 访问 权限 ”界面 


(7) 设置 好 用 户 访问 该 FTP 站 点 的 权限 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 站 点 建立 完成 界 
面 ， 如 图 9-27 所 示 。 


yl 
导 收 区 洁 所 FTP 站 点 创建 向 


要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


图 9-27 站 点 建立 完成 界面 


(8) 单 击 “完成 ”按钮 ， 关 闭 对 话 框 ， 此 时 IS 管理 器 中 出 现 新 建 好 的 站 点 ， 如 图 9-28 
所 示 。 


ETI 
查看 W) 窗口 (0) 帮助 00 
IISIEIICI 


路 会 ] 拓 态 
此 视图 中 没有 可 显示 的 项 目 * 


图 9-28 IIS6.0 管理 器 界面 


(9) FTP 虚拟 站 点 的 管理 和 默认 FTP 站 点 的 管理 方法 完全 相同 ， 这 里 不 再 著述 。 
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9.3.2 ”虚拟 目录 


如 果 要 扩展 虚拟 网 站 ， 为 不 同 的 用 户 提供 不 同 的 目录 ， 他 们 还 拥有 不 同 的 权限 ， 此 时 
不 需要 创建 多 个 FTP 站 点 ， 而 应 该 利用 虚拟 目录 来 实现 这 个 目的 。 使 用 虚拟 目录 可 以 创建 
多 个 不 同 内容 ， 不 同 访问 权限 的 目录 ， 这 些 目录 可 能 位 于 不 同 的 卷 ， 甚 至 网 络 中 其 他 计算 
机 的 磁盘 上 ， 但 是 无 论 是 管理 还 是 使 用 都 是 在 同一 个 FTP 站 点 进行 集中 管理 ， 非 常 方便 。 
FTP 虚拟 目录 是 FTP 站 点 的 下 一 级 目录 。 而 且 虚 拟 目录 可 以 将 处 于 不 同位 置 的 存储 空 
间 集 中 在 同一 个 FTP 站 点 中 ， 便 于 访问 和 管理 。 
虚拟 目录 有 以 下 特点 。 
e 便于 扩展 : 当 FTP 站 点 升级 或 扩展 时 ， 如 果 需 要 扩展 磁盘 空间 ， 而 主 目录 所 在 卷 
空间 不 足 ， 可 以 通过 虚拟 目录 将 其 他 卷 或 磁盘 的 空间 添加 到 FTP 站 点 中 ， 用 户 使 
用 时 不 会 感到 有 任何 差异 。 
e 增删 灵活 : 可 以 根据 需要 随时 向 FTP 站 点 增加 或 删除 虚拟 目录 ， 而 且 在 增加 或 删 
除 过 程 中 不 会 影响 FTP 站 点 的 正常 运行 。 
e 易于 配置 ， 虚拟 目录 是 FTP 站 点 的 一 个 子 目录 ， 可 以 像 访问 FTP 站 点 那样 访问 虚 
拟 目录 ， 即 使 一 个 FTP 站 点 有 多 个 虚拟 目录 ， 也 一 样 通过 FTP 站 点 的 下 地 址 和 端 
口 进行 访问 ,就 像 访问 一 个 目录 下 的 多 个 子 目 录 一 样 。 此 外 ， 新建 的 虚拟 目录 自动 
继承 FTP 站 点 的 权限 ， 管 理 方便 。 
但 是 ， 虚 拟 目录 不 是 一 个 独立 的 FTP 站 点 ， 而 是 依附 于 一 个 FTP 站 点 提供 服务 ， 这 
点 要 特别 注意 。 
创建 虚拟 目录 的 操作 方法 如 下 
(1) 打开 IS 6.0 管理 器 ， 展 开 “FTP 站 点 ”节点 , 右 击 想 要 创建 虚拟 目录 的 FTP 站 点 ， 
在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “虚拟 目录 ”命令 , 打开 虚拟 目录 创建 向 导 ， 如 图 9-29 
所 示 。 


欢迎 使 用 虚拟 目录 创建 向 导 


此 向导 帮助 您 在 FTP 站 点 上 新 建 一 个 虚拟 目录 。 


图 9-29 “虚拟 目录 创建 向 导 ” 欢 迎 界面 


(2) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “虚拟 目录 别名 ”界面 ， 如 图 9-30 所 示 。 
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图 9-30 “虚拟 目录 别名 ”界面 


G) 在 “别名 ”文本 框 中 输入 虚拟 目录 的 别名 ， 这 个 名 字 将 在 用 户 登 录 FTP 站 点 后 被 
看 到 ， 但 这 个 别名 和 真实 目录 的 名 字 没有 关系 。 设 置 完毕 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 
“FTP 站 点 内 容 目录 ”界面 ， 如 图 9-31 所 示 。 


mm 


FTP 站 点 内 容 目 录 
要 发 布 到 FTP 站 点 的 内 容 的 位 置 。 


图 9-31 “FTP 站 点 内 容 目录 ”界面 


(4) 在 “路 径 ” 文 本 框 中 输入 虚拟 目录 对 应 的 真实 目录 所 在 的 路 径 。 将 来 用 户 访问 虚 
拟 目录 时 ， 实 际 上 访问 的 就 是 本 界面 中 输入 的 真实 目录 。 设 置 完毕 后 ， 单 击 “ 下 一 步 ” 按 
钮 ， 进 入 “虚拟 目录 访问 权限 ”界面 ， 如 图 9-32 所 示 。 


图 9-32 “虚拟 目录 访问 权限 ”界面 
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(5) 在 该 界面 设置 对 该 虚拟 目录 的 访问 权限 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 完 成 配置 。 
(6) 虚拟 目录 创建 完毕 后 ， 就 可 以 进行 配置 。 在 虚拟 目录 上 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “属性 ”命令 ， 打 开 “ 属 性 ”对 话 框 ， 如 图 9-33 所 示 。 


EE 
虚拟 目录 | 目录 安全 性 | 
此 资源 的 内 容 来 源 - 


个 此 计算 机 上 的 目录 0) 
个 另 一 台 计算 机 上 的 目录 中 
FTP 站 点 目录 


本 地 路 径 @): Fa ， 沾 四 
订 读 取 G) 
厂 写 入 m 
克 记录 访问 


图 9-33 “属性 ”对 话 框 


(7) 在 该 界面 中 可 以 设置 虚拟 目录 对 应 的 真实 目录 的 路 径 ， 以 及 用 户 访问 该 虚拟 目录 
时 拥有 的 权限 。 


9.4 FTP 站 点 的 访问 安全 


如 果 FTP 站 点 中 存放 的 是 较 重 要 的 文件 ,那么 ， FTP 站 点 的 安全 就 是 一 个 比较 重要 的 
问题 。 管 理 员 可 以 通过 限制 来 访 帐户 和 来 访 计算 机 来 加 强 FTP 站 点 的 安全 性 。 


9.4.1 禁止 匿名 访问 


在 默认 设置 下 ，IIS 中 的 FTP 服务 是 允许 匿名 访问 的 ， 即 用 户 无 需 输 入 用 户 名 和 密码 
就 可 以 访问 FTP 站 点 的 文件 和 文件 夹 。 如 果 FTP 站 点 存放 的 是 比较 重要 的 文件 , 应 当 禁 止 
匿名 用 户 访问 ， 只 对 指定 的 用 户 开 放 。 

首先 ,打开 IS 6.0 管理 器 ， 打开 要 进行 配置 的 FTP 站 点 的 属性 对 话 框 , 打开 “安全 帐 
户 ” 选 项 卡 ， 如 图 9-34 所 示 。 
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ad 
了 到 5 去 主体 户 | 沪 号 | 主 上 未 | 中 杂 R 人 性 | 


CE ww | sn) Ww 
图 9-34 “安全 帐户 ”选项 卡 


如 果 选 中 “只 允许 匿名 连接 ” 复 选 框 ， 则 不 允许 任何 用 户 使 用 指定 的 帐户 进行 登录 ， 
只 能 实现 匿名 登录 。 在 对 安全 性 要 求 较 高 的 FTP 站 点 中 ， 是 不 允许 的 。 如 果 要 取消 匿名 登 
录 ， 应 当 取消 选中 “允许 匿名 连接 ” 复 选 框 ， 然 后 单 击 “ 确 定 ”按钮 。 这 样 FTP 站 点 将 不 
允许 匿名 登录 ， 用 户 登录 FTP 站 点 时 必须 输入 用 户 名 和 密码 。 

取消 FTP 站 点 的 匿名 登录 后 ， 再 通过 计算 机 管理 器 为 系统 添加 一 个 用 户 ， 然 后 在 FTP 
站 点 主 目录 的 NTFS 权限 设置 中 添加 该 用 户 ， 并 根据 需要 为 其 分 配 权 限 ， 这 样 就 可 以 使 用 
该 用 户 的 用 户 名 和 密码 登录 FTP 服务 器 了 。 


9.4.2 ”限制 IP 地 址 访问 


除了 限制 登录 用 户 以 外 ， 还 可 以 只 允许 (或 禁止 ) 指 定 他 地 址 的 计算 机 访问 FTP 站 点 ， 
以 提高 安全 性 。 允 许 信任 的 瑟 地 址 访问 FTP 站 点 ， 禁 止 不 信任 的 瑟 地 址 访问 FTP 站 点 ， 
这 样 不 被 信任 的 瑟 地 址 将 不 能 访问 FTP 站 点 ， 避 免 了 来 自 外 界 的 攻击 ， 大 大 提高 了 FTP 
站 点 的 安全 性 。 即 使 FTP 站 点 被 攻击 ， 也 可 以 根据 受信 任 的 他 地 址 列表 ， 缩 小 查找 范围 ， 
有 利于 查 清 问题 发 生 的 原因 。 这 种 设置 方式 在 企业 网 络 中 比较 常用 。 

具体 操作 步骤 如 下 : 


(1) 打开 要 进行 配置 的 FTP 站 点 的 属性 对 话 框 ， 打 开 其 中 的 “目录 安全 性 ”选项 卡 ， 
如 图 9-35 所 示 。 
| 


PT 让 点 | 安 人 帐户 | 着 昌 | 主 明 录 “ 目 杂 全 全 | 


01 地 il 证 
内 人 尼 下 ,所 有 计划 机 亲 柑 逢 。 二 揪 了 这 昌 
TR DH 7 En) 
WH 
ED 


CE wm | een | 和 
图 9-35 “目录 安全 性 ”选项 卡 
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(2) “目录 安全 性 ”选项 卡 中 一 共有 两 个 选项 。 如 果 选 中 “授权 访问 ”， 则 允许 所 有 
的 计算 机 都 可 以 访问 FTP 站 点 ， 但 是 指定 的 他 地 址 除外 ， 也 就 是 指定 拒绝 访问 该 FTP 站 
点 的 他 地 址 是 哪些 ， 如 果 选 中 “拒绝 访问 ”， 则 禁止 所 有 的 计算 机 访问 FTP 站 点 ， 但 是 
指定 的 下 地址 除外 ， 也 就 是 指定 允许 访问 该 FTP 站 点 的 他 地址 有 哪些 。 选 择 好 策略 后 ， 
单 击 “ 添 加 ”按钮 ， 打 开 添 加 王 地 址 对 话 框 ， 如 图 9-36 所 示 。 
| 
类 型 : 


6 一 台 计 算 机 ) 
人 一直 计算 机 


王 地 址 0); 


[ie ws 23 DIS 查找 00. 
确定 取消 帮助 00 


图 9-36 “拒绝 访问 ”对 话 框 


(3) 默认 状态 下 是 选中 “一 台 计 算 机 ” 单 选 按钮 ， 在 “人 P 地 址 ”文本 框 中 输入 指定 的 
IP 地 址 ， 单 击 “ 确 定 ” 按 钮 完成 配置 。 这 种 方法 可 以 添加 单个 人 P 地 址 。 还 可 以 选中 “一 
组 计算 机 ” 单 选 按钮 ， 如 图 9-37 所 示 。 


Ed| 
a 
C -Et G) 
人 一 组 计算 机 加 ) 
Psi OD: 于 网 拉 员 ; 


[em or [ss 
CC | ws 者 助 00) 


图 9-37 “拒绝 访问 ”对 话 框 


(4) 在 “网 络 标识 ”文本 框 中 输入 网 络 号 ， 在 “ 子 网 掩 码 ” 文 本 框 中 输入 子 网 掩 码 ， 
就 可 以 添加 一 个 网 段 的 下 地 址 了 。 单 击 “ 确 定 ” 按 钮 完成 配置 。 


9.5 FTP 站 点 的 访问 


FTP 站 点 设置 成 功 后 ， 就 可 以 为 用 户 提供 服务 了 。 根 据 FTP 站 点 的 权限 设置 的 不 同 ， 
用 户 对 FTP 站 点 可 进行 的 操作 也 有 所 不 同 。 一 般 来 说 ， 访 问 FTP 站 点 有 两 种 方式 ， 一 是 
Windows 资源 管理 器 ， 二 是 专用 FTP 软件 。 
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9.5.1 访问 FTP 站 点 


如 果 使 用 Windows 资源 管理 器 访问 FTP 站 点 ， 首 先 打 开 Windows 资源 管理 器 ， 然 后 
在 地 址 栏 中 输入 FTP 站 点 的 地 址 ， 按 下 回 车 键 ， 开 始 登录 FTP 站 点 。 FTP 站 点 的 地 址 格式 
是 fp:/ 服 务 器 名 或 瑟 地 址 /目录 名 称 : 端口 号 ， 如 果 FTP 站 点 的 端口 号 是 默认 的 21， 则 不 
需要 输入 端口 号 和 它 前 面 的 冒号 。 例 如 ， 一 个 FTP 站 点 的 他 地 址 是 192.168.5.2， 端 口号 
是 20( 注 意 ， 不 是 默认 的 21 端口 )， 登 录 该 站 点 时 ， 它 的 地 址 是 “ftp://192.168.5.2:20”( 不 
含 引号 )。 

如 果 该 FTP 站 点 允许 匿名 登录 ， 用 户 会 直接 以 匿名 用 户 身份 登录 该 FTP 站 点 。 如 果 
FTP 站 点 不 允许 匿名 登录 ， 则 会 弹出 “登录 身份 ”对 话 框 ， 如 图 9-38 所 示 。 


| 
和 要 登录 到 该 FTP 服务 器 ， 请 键入 用 户 名 和 密码 * 


FTP 服务 器 - 192. 168.5.2 
用 户 名 0 [ 图 
密码 0): | 
登录 后 ,可 以 将 这 个 服务 器 添加 到 您 的 收藏 大 ， 以 便 轻 易 返回 。 
人 A 币 可 | 服务 品 之 前 不 加 让 开 过 有 宣 码 或 数据 。 要 保护 密码 和 数据 
厂 匿名 登录 从) 厂 保存 密码 ) 


[Co ay | 
图 9-38 “登录 身份 ”对 话 框 


输入 登录 用 户 的 用 户 名 和 密码 ， 单 击 “ 登 录 ” 按 钮 ， 如 果 用 户 名 和 密码 正确 ， 就 会 登 
录 到 服务 器 上 。 

如 果 FTP 服务 器 既 允 许 匿名 登录 ， 也 允许 通过 用 户 名 登录 ， 那 么 登录 时 Windows 资 
源 管理 器 自动 以 匿名 用 户 身份 登录 到 服务 器 。 此 时 如 果 还 想 以 指定 帐户 登录 ， 可 以 在 页 面 
空白 处 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “登录 ”命令 ， 就 会 打开 如 图 9-38 所 示 的 “登录 身 
份 ” 对 话 框 ， 输 入 用 户 名 和 密码 即 可 。 

通过 Windows 资源 管理 器 登录 FTP 站 点 以 后 ， 上 传 和 下 载 操作 的 方法 和 在 两 个 文件 
夹 中 复制 和 粘贴 文件 是 一 样 的 。 如 果 想 下 载 文件 ， 在 选 定 文件 上 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “复制 ”命令 ， 再 打开 想 要 保存 文件 的 文件 夹 ， 在 空白 处 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “粘贴 ”命令 ;如 果 想 上 传 文件 ， 在 要 上 传 的 本 地 文件 上 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “复制 ”命令 ， 再 在 打开 的 FTP 站 点 的 页 面 室 白 处 右 击 ， 在 弹出 的 快捷 菜单 中 选择 
“粘贴 ”命令 。 但 是 具体 可 以 进行 的 操作 取决 于 FTP 站 点 对 权限 的 设置 。 

如 果 使 用 专用 FTP 软件 登录 ， 虽 然 设置 会 稍 有 麻烦 ， 但 是 使 用 更 加 便利 ， 效 率 更 高 。 
下 面 以 CuteFTP 为 例 ， 介 绍 具体 的 操作 方法 。 

首先 运行 CuteFTP 程序 ， 依 次 选择 “文件 ”菜单 一 “新 建 ”一 “FTP 站 点 ”命令 ， 打 
开 “ 站 点 属性 ”对 话 框 ， 如 图 9-39 所 示 。 
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图 9-39 “站 点 属性 ”对 话 框 


设置 各 项 信息 ， 在 “标签 ”文本 框 输入 FTP 站 点 名 称 ，“ 主 机 地 址 ”文本 框 输入 FTP 
站 点 地 址 ;登录 方式 如 果 选 择 “ 匿 名 ”， 则 不 需要 输入 用 户 名 和 密码 两 项 信息 ， 如 果 选 择 
“标准 ”或 者 “两 者 ”， 则 需要 输入 用 户 名 和 密码 。 如 果 FTP 站 点 的 端口 号 不 是 默认 的 21 
端口 ， 还 需要 打开 “类 型 ”选项 卡 修改 该 站 点 的 访问 端口 。 

设置 完毕 ， 单 击 “ 连 接 ” 按 钮 ， 即 可 自动 连接 FTP 站 点 ， 如 图 9-40 所 示 。 
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图 9-40 ”CuteFTP 界面 
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CuteFTP 的 界面 可 以 分 为 四 大 部 分 ， 上 方 是 软件 的 菜单 栏 和 工具 栏 ， 下 方 是 文件 传输 
的 状态 栏 ， 中 间 分 为 左右 两 个 窗 格 ， 左 侧 窗 格 为 本 地 驱动 器 栏 ， 显 示 本 地 资源 ， 右 侧 窗 格 
为 FTP 站 点 栏 ， 显 示 FTP 站 点 上 的 资源 。 如 果 要 进行 下 载 操 作 ， 从 右 侧 窗 格 将 要 下 载 的 文 
件 或 文件 夹 拖 到 左 侧 窗 格 即 可 ， 如 果 要 进行 上 传 操作 ， 将 要 上 传 的 文件 或 文件 夹 从 左 侧 窗 
格 拖 到 右 侧 窗 格 即 可 。 


9.5.2 ”虚拟 目录 的 访问 


通过 上 述 方法 登录 到 FTP 站 点 后 ， 虚 拟 目录 并 不 会 直接 显示 出 来 。 如 果 要 访问 虚拟 目 
录 , 可 以 在 登录 时 ,在 FTP 站 点 地 址 中 加 上 目录 的 路 径 。 如 FTP 站 点 的 下 地 址 为 192.168.5.2， 
其 中 有 一 个 虚拟 目录 名 为 testl ， 端 口号 为 21， 如 果 要 访问 testl 目录 ， 则 访问 地 址 是 
fp://192.168.5.2/testl 。 

其 他 方面 和 访问 FTP 站 点 相同 ， 这 里 不 再 袭 述 。 


9.6 本 章 小 结 


本 章 介绍 了 使 用 IIS 搭建 FTP 服务 器 的 方法 ， 通 过 HS， 用 户 可 以 搭建 安全 、 高 效 的 
FTP 服务 器 ， 也 可 以 利用 一 台 服 务 器 ， 搭 建 多 个 FTP 服务 器 ， 提 高 了 硬件 的 使 用 效率 ， 降 
低 了 开销 。 用 户 则 可 以 根据 情况 使 用 不 同 的 方法 和 工具 使 用 FTP 服务 。 

(1) FTP 服务 器 的 搭建 与 配置 本 节 介 绍 了 在 IS 中 启用 FTP 服务 的 方法 ， 通 过 学 习 ， 
学 生 可 以 利用 IIS 6 搭建 FTP 服务 器 ， 设 置 FTP 服务 器 参数 和 提示 信息 。 

(2) 为 FTP 设置 NTFS 访问 权限 : 本 节 介绍 了 FTP 服务 器 权限 设置 的 方法 , 通过 学 习 ， 
学 生 可 以 设 定 用 户 对 FTP 服务 器 的 访问 权限 ,如果 FTP 主 日 录 位 于 NTFS 卷 上 , 还 可 以 将 
两 者 配合 起 来 ， 实 现 更 加 灵活 细致 的 权限 分 配 。 

(3) 虚拟 站 点 与 虚拟 目录 : 本 节 介 绍 了 创建 虚拟 目录 和 虚拟 站 点 的 方法 ， 通 过 学 习 ， 
学 生 可 以 在 同一 台 服 务 器 上 创建 多 个 目录 和 站 点 ， 提 高 服务 器 硬件 的 使 用 效率 ， 节 约 了 
开销 。 

(4) FTP 站 点 的 访问 安全 : 本 节 介 绍 了 针对 FTP 站 点 的 安全 设置 ， 主 要 包括 指定 可 访 
问 服务 器 的 帐户 和 限制 可 访问 服务 器 的 瑟 地 址 两 个 方法 。 

(5) FTP 站 点 的 访问 : 本 节 介绍 了 访问 FTP 站 点 的 方法 ,可 以 使 用 Windows 资源 管理 
器 实现 简单 访问 ， 也 可 以 使 用 更 加 专业 的 FTP 工具 进行 访问 。 访 问 普通 FTP 站 点 和 虚拟 站 
点 、 虚 拟 目录 的 方法 是 一 样 的 。 


“258 。 Windows Server 2008 系统 管理 


9.7 思考 与 练习 


【思考 题 】 
1. 如 果 服 务 器 允许 匿名 登录 ， 是 否 用 户 可 以 不 需要 任何 账户 即 可 享用 FTP 服务 ? 
2. 说 明 FTP 服务 器 权限 设置 和 NTFS 权限 设置 之 间 的 关系 。 
【练习 题 】 
1. 配置 FTP 服务 的 基本 参数 (参考 9.1.2 节 )、 磁 盘 配 额 (参考 9.2.3 节 ) 并 发 布 。 
2. 限制 只 有 某 个 人 P 地 址 段 可 访问 FTP 服务 器 (参考 9.4.2 节 )。 
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【本 章 导 读 】 
Exchange Server 2007 不 仅 具 有 邮件 服务 器 的 功能 , 而 且 是 一 款 功能 强大 的 企业 信息 平 
台 。 本 章 主要 介绍 Exchange Server 2007 与 邮件 服务 器 有 关 的 最 基本 的 功能 ， 内 容 包 括 
Exchange Server 2007 概述 、 安 装 Exchange Server 2007、 使 用 Exchange 管理 控制 台 建 立 用 
户 邮箱 、 客 户 端的 使 用 、 配 置 面 向 Internet 的 集线器 传输 服务 器 、 邮 箱 常用 操作 和 限制 ， 
通过 本 章 的 学 习 ， 可 构建 一 个 简单 的 邮件 系统 ， 并 在 客户 端 使 用 OWA 或 Outlook 2007 进 
行 邮件 收发 。 


10.1 Exchange Server 概述 


10.1.1 邮件 系统 概述 


电子 邮件 是 最 基本 的 网 络 通信 功能 之 一 。 电 子 邮 件 的 传输 是 通过 电子 邮件 简单 传输 协 
议 (Simple Mail Transfer Protocol, SMTP) 这 一 系统 软件 来 完成 的 。 电子 邮件 系统 的 重要 组 成 
部 分 是 邮件 服务 器 。 从 硬件 上 看 ， 邮 件 服务 器 是 一 台 高 性 能 、 大 容量 的 计算 机 。 硬 盘 作 为 
邮箱 的 存储 介质 ， 在 硬盘 上 为 用 户 分 配 一 定 的 存储 空间 作为 用 户 的 邮箱 ， 不 同 用 户 的 邮箱 
可 能 存在 于 同一 个 邮件 服务 器 上 , 也 可 能 存在 于 不 同 的 邮件 服务 器 上 。 客户 端 发 送 邮件 时 ， 
先 把 邮件 发 送 给 自己 的 邮件 服务 器 ， 邮 件 服务 器 根据 收 件 人 的 邮箱 地 址 确定 收 件 人 邮箱 所 
在 的 邮件 服务 器 ， 然 后 把 邮件 发 送 过 去 ， 收 件 人 所 在 的 邮件 服务 器 再 把 邮件 放 入 收 件 人 的 
邮箱 。 收 件 人 客户 端 连接 自己 的 邮件 服务 器 就 能 收 到 发 给 自己 的 邮件 了 。 

邮件 服务 器 是 需要 软件 支持 的 ， 这 样 的 软件 有 多 种 。 主 要 有 : (1) 基 于 Postfix/Qmail 
的 邮件 系统 ，(2) 微 软 的 Exchange 邮件 系统 ，(3)IBM Lotus Domino 邮件 系统 ; (4)Scalix 邮 
件 系 统 ，(5)Zimbra 邮件 系统 ，(6)MDeamon 邮件 系统 。 其 中 ，Exchange 邮件 系统 由 于 和 
Windows 整合 ,便于 管理 ， 是 在 企业 中 使 用 数量 最 多 的 邮件 系统 ; IBM Lotus Domino 则 综 
合 功 能 较 强 , 大 型 企业 使 用 较 多 ; 基于 Postfix 的 邮件 系统 则 需要 有 较 强 的 技术 力量 才能 实 
现 ， 但 是 性 能 可 以 达到 非常 高 ， 而 且 安全 性 很 好 。 

Exchange 2007 在 架构 上 采用 64 位 硬件 平台 (也 提供 32 位 的 测试 版 本 )， 简 化 了 管理 机 
制 和 路 由 选择 。 主 要 的 变化 是 服务 器 以 角色 为 基础 的 部 署 ， 服 务 器 的 角色 共 分 为 五 类 : 边 
缘 传 输 、 集 线 器 传输 、 客 户 端 访 问 、 统 一 消息 和 邮箱 。 
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1. 边缘 传输 (Edge Transport) 


“边缘 传输 ”服务 器 角色 以 独立 服务 器 的 形式 存在 于 内 部 网 络 之 外 ， 通 常用 防火 墙 进 
行 隔离 。 它 可 使 内 部 网 络 受到 外 部 攻击 的 机 率 减 到 最 小 ， 如 没有 构建 边缘 传输 服务 器 ， 则 
“集线器 传输 ”服务 器 将 直接 面 对 外 部 网 络 进行 邮件 收发 , 这 就 降低 了 内 部 网 络 的 安全 性 。 

边缘 传输 服务 器 可 以 接收 来 自 temet 的 邮件 ， 经 处 理 后 ， 发 送 到 企业 内 部 的 集线器 
传输 服务 器 。 企 业内 部 发 送 到 Internet 的 邮件 也 要 通过 集线器 传输 服务 器 传送 到 边缘 传输 
服务 器 ， 经 处 理 后 发 送 到 Intemet。 

边缘 传输 服务 器 提供 多 层次 的 垃圾 邮件 筛选 与 保护 程序 ， 能 够 准确 地 过 滤 垃 圾 邮件 ， 
同时 使 用 边缘 传输 规则 ， 有 效 地 保护 企业 网 络 资源 。 


2. 集线器 传输 (Hub Transport) 


集线器 传输 服务 器 部 署 在 Active Directory 域内 部 ， 用 于 处 理 组 织 内 的 所 有 邮件 流 、 
应 用 传输 规则 、 应 用 日 记 策略 以 及 向 收 件 人 的 邮箱 传递 邮件 。 发 送 到 Intemet 的 邮件 由 集 
线 器 传输 服务 器 传输 到 边缘 传输 服务 器 , 再 发 送 到 Internet。 从 Internet 接收 的 邮件 在 传输 
到 集线器 传输 服务 器 之 前 ， 由 边缘 传输 服务 器 进行 处 理 。 如 果 不 具 有 边缘 传输 服务 器 ， 则 
可 以 将 集线器 传输 服务 器 进行 配置 ， 使 之 直接 中 继 Intemet 邮件 。 还 可 以 在 集线器 传输 服 
务 器 上 安装 和 配置 边缘 传输 服务 器 代理 程序 ， 用 来 在 组 织 内 部 提供 反 垃圾 邮件 和 防 病毒 保 
护 的 服务 。 

集线器 传输 服务 器 将 其 所 有 配置 信息 都 存储 在 Active Directory 中 。 这 些 信息 包括 传 
输 规 则 、 日 记 规则 和 连接 器 配置 。 由 于 这 些 信息 存储 在 Active Directory 中 ， 因 此 组 织 中 
的 每 个 集线器 传输 服务 器 都 可 应 用 这 些 相同 的 设置 。 

集线器 传输 服务 器 角色 可 与 其 他 任何 非 群 集 内 部 服务 器 角色 安装 在 同一 服务 器 上 ， 或 
者 安装 在 集线器 传输 服务 器 角色 专用 的 服务 器 上 。 每 个 包含 邮箱 服务 器 角色 的 Active 
Directory 站 点 中 必须 部 署 集线器 传输 服务 器 。 每 个 站 点 中 可 部 署 多 个 集线器 传输 服务 器 ， 
这 会 将 连接 请 求 分 散 处 理 , 同时 在 其 中 一 台 服 务 器 出 故障 时 提供 容错 能 力 , 以 免 服务 中 断 。 


3. 客户 端 访问 (Client Access) 


客户 端 访问 服务 器 有 具有 处 理 来 自 Internet 客户 端 请 求 的 能 力 ， 并 依据 负载 平衡 原则 ， 
将 接收 的 流量 发 送 到 后 端 适当 的 服务 器 中 。 

客户 端 访 问 服务 器 支持 Microsoft Outlook Web Access(OWA) 和 Microsoft Exchange 
ActiveSyne 客户 端 应 用 程序 以 及 邮局 协议 第 3 版 POP3) 和 Internet 信息 访问 协议 第 4 版 
(IMAP4)。 客 户 端 访问 服务 器 还 支持 一 些 服务 ， 例 如 Autodiscover 服务 和 Web 服务 。 

使 用 上 述 方法 ， 客 户 端 都 可 以 连接 到 客户 端 访问 服务 器 。 例 如 ，Microsoft Outlook 
Express 使 用 POP3 或 IMAP4 与 Exchange 服务 器 通信 ， 而 手机 或 PDA 则 使 用 ActiveSync、 
POP3 或 IMAP4 与 Exchange 服务 器 通信 。 
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4. 统一 消息 (Unified Message，UM) 


统一 消息 服务 器 提供 了 整合 PBX(Private Branch eXchange) 的 电话 信息 交换 能 力 ， 人 允许 
用 户 通过 任何 电话 访问 其 Exchange 2007 邮箱 中 的 电子 邮件 、 语 音 邮 箱 、 传 真 信息 与 联系 
人 信息 等 。 

5. 邮箱 

邮箱 服务 器 负责 将 客户 端 邮 箱 的 内 容 存储 在 数据 库 中 ， 并 且 允 许 进行 复制 或 群集 结构 
等 可 用 性 规划 。 除 此 之 外 ， 它 还 负责 控制 公用 文件 来， 并且 产生 离线 通讯 敌 。 

每 台 邮 箱 服务 器 必须 与 以 下 的 组 件 协同 工作 : 

e@ Active Directory 目录 服务 服务 器 

se 集线器 传输 服务 器 

e 客户 端 访 问 服务 器 

e 统一 消息 服务 器 

e Microsoft Outlook 客户 端 


10.1.2 ”系统 安装 需求 


1. CPU 需求 

32 位 试用 版 ，Intel Pentium 800(MHz) 或 更 高 等 级 处 理 器 。 

64 位 版 本 : x64 架构 计算 机 且 支 持 Intel Extended Memory 64 技术 (Intel EM64T) 的 Intel 
Xeon 或 Intel Pentium 系列 处 理 器 , 或 支持 AMD64 平台 的 AMD Opteron 或 AMD Athlon 64 
处 理 器 。 

不 支持 的 CPU 类 型 : Intel Itanium IA64。 

2. 操作 系统 需求 

Windows Server 2003 各 版 本 、Windows Server 2008 标准 版 、Windows Server 2008 企 
业 版 。 

3. 内 存 需 求 

至 少 2GB 内 存 ， 建 议 的 内 存 数量 为 2GB 和 每 用 户 2MB~5MB。 

4. 硬盘 空间 需求 

至 少 1.2GB 的 硬盘 空间 ， 若 要 为 “统一 消息 ”安装 其 他 语言 插件 ， 每 种 语言 需要 额外 
的 500MB 的 硬盘 空间 。 在 使 用 “本 机 连续 复制 ”或 “群集 连续 复制 ”时 需 额 外 空间 ， 而 
实际 需求 量 则 按照 要 复制 的 存储 组 大 小 而 定 。 
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5. 媒体 访问 需求 

DVD/ 光 驱 、 本 机 硬盘 、 网 络 访问 。 
6. 文件 格式 需求 

格式 化 为 NTFS 文件 系统 的 磁盘 分 
7. 软件 需求 

® Microsoft NET Framework Version 2.0 


® Microsoft Management Console(MMC) 3.0 
® Windows PowerShell 


区 


10.2 ”安装 Exchange Server 


10.2.1 准备 工作 


Exchange Server 既 可 以 安装 在 成 员 服务 器 上 ， 也 可 以 安装 在 域 控制 器 上 ， 在 此 将 其 安 
装 在 域 控 制 器 上 。 在 安装 Exchange Server 2007 之 前 需要 添加 Web 服务 和 Windows 
PowerShell， 这 些 工 作 需 要 以 Administrator 的 身份 登录 域 之 后 才能 进行 (如 无 特别 声明 ， 软 
件 安装 过 程 中 所 做 的 操作 都 是 在 以 Administrator 的 身份 登录 域 之 后 进行 的 ), 首先 添加 Web 
服务 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”， 在 “服务 器 管理 器 ” 窗 
口中 单 击 “ 角 色 ”， 然 后 单 击 右 侧 窗 格 中 的 “添加 角色 ”， 如 图 10-1 所 示 。 


文件 0) 提 作 OA) 下 看 w) 帮助 00 | 
和 中 | 广 [ 世 | 加 


省 查看 安 装 在 服务 品 上 前 色 83 运 行 状 多 ， 以 及 六 加 绽 负 竺 钠 色 和 功 院 。 


入 色 : 已 克 弥 2 旨 16) imme) 
了 双 


让 hetive Direetory 弛 务 


”图 10-1 选择 “添加 角色 ” 

(2) 在 出 现 的 “开始 之 前 ”对 话 框 中 单 击 “ 下 一 步 ”按钮 。 

(3) 如 图 10-2 所 示 ， 在 “选择 服务 器 角色 ”对 话 框 中 选中 “Web 服务 器 (TS)” 复 选 框 。 
并 在 弹出 的 对 话 框 中 单 击 “ 添 加 必需 的 功能 ”按钮 ， 如 图 10-3 所 示 。 
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ET 2 


上 选择 服务 器 角色 


= 1 mn 
图 10-2 选中 “Web 服务 器 (IIS)” 复 法 和 


对 
ep 是 否 添加 Web 展 务 器 (IIS) 所 需 的 功能 ? 
三 | 天 法 安装 eb 甩 务 器 ITS)， 除 在 已 雪 装 所 时 的 功能 > 
功能 四 ) 
intows 进程 小舌 服务 Tiadox Process hetivatisn Sarrica 
二 和 
配置 AT 的 依赖 。 使 用 车 )TTP 协议 ， 以 前 只 能 … 


wk | 
加 罗 寺 这 娄 能 ? 司 
图 10-3 单 击 “ 添 加 必须 的 功能 ” 


(4) 在 出 现 的 “Web 服务 器 (IIS)” 对 话 框 中 单 击 “ 下 一 步 ”按钮 。 

(5) 在 “选择 角色 服务 ”界面 中 ， 除 了 默认 选中 的 项 目 外 ， 还 要 选中 “ASP.NET”、 
“静态 压缩 ”、“ 动 态 压缩 ”、“ 身 份 验证 服务 ”、“IIS6.0 管理 兼容 性 ”、“IIS 管理 控 
制 台 ”这 些 项 目 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 10-4 所 示 。 


Fn 
Me 
nt 


中 RS Er 


区 
贡 

6 

加 
口 图 因 加 因 

和 

训导 本 


] 国 国 口 口 加 加 


可 Fa 


<t-#m TSm ?] =e 2] 
图 10-4 选中 必要 的 项 目 


“264 。 Windows Server 2008 系统 管理 


(6) 在 出 现 的 “确认 安装 选择 ”对 话 框 中 单 击 “ 安 装 ” 按 钮 ， 然 后 进入 “安装 进度 ” 
对 话 框 ， 等 待 安装 结束 。 

(7) 安装 结束 后 ， 弹 出 “安装 结果 ”对 话 框 ， 单 击 “ 关 闭 ” 按 钮 ， 结 束 添加 Web 服 
务 器 。 

接 下 来 添加 Windows PowerShell， 操 作 步 骤 如 下 : 


(1) 在 “服务 器 管理 器 ”窗口 中 选择 “功能 ”选项 ， 然 后 单 击 右 侧 窗 格 中 的 “添加 功 
能 ”， 如 图 10-5 所 示 。 


10-5 单 击 “ 添 加 功能 ” 


(2) 在 出 现 的 “选择 功能 ”对 话 框 中 ， 选 中 “Windows PowerShell”， 然 后 单 击 “ 下 一 
步 ” 按 钮 。 

G) 在 出 现 的 “确认 安装 选择 ”对 话 框 中 单 击 “ 安 装 ” 按 钮 ， 然 后 弹出 “安装 进度 ” 
对 话 框 ， 最 后 出 现 “ 安 装 结果 ”对 话 框 ， 在 此 对 话 框 中 单 击 “关闭 ”按钮 。 

到 此 就 完成 了 添加 Web 服务 和 Windows PowerShell 的 操作 。 


10.2.2 安装 Exchange Server 


在 此 安装 Exchange Server 2007 SP1 的 32 位 试用 版 , 可 以 从 微软 网 站 上 下 载 安装 程序 。 
下 载 的 是 一 个 自 解压 的 压缩 包 。 可 以 把 安装 程序 解压 到 硬盘 的 一 个 文件 夹 中 ， 如 图 10-6 所 
示 ， 安 装 程序 被 解压 到 E:\exchangesetup 文件 夹 中 。 


[€ TO ee 1 
文件 0) 坊 缠 0Y) 下 看 0 工具 0) 导 动 00 

组 从” ) 咱 祝 四 ~ 
ee CI 010/W24 多 
用 x Due 2010/W/24 ，， 文件 夹 
本 A ht 2040/W/24 .，， 文 
Da Ctr 200/11/21.， 安装 信息 im 

Ss » esr so Win mm S08 Eben 

rdmt 200/1/27 Iam 福星 wm 


we 200/11/27 ,es-M0S 应 1m 
nd (gm ) 200m/11/27 .应 用 加 序 ET 
半点 而 


10-6 下 载 安装 程序 
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安装 步骤 如 下 : 

(1) 双击 该 文件 夹 下 的 setup.exe 程序 ， 就 可 以 启动 Exchange Server 2007 的 安装 程序 。 

(2) 安装 的 前 3 个 步骤 旦 灰色 ,如 图 10-7 所 示 , 是 因为 NET Framework 2.0 和 Microsoft 
管理 控制 台 (MMC) 包 含 在 Windows Server 2008 系统 中 ， 而 Microsoft Windows PowerShell 
又 在 准备 阶段 进行 了 添加 ， 因 此 可 以 直接 从 第 4 个 步骤 开始 安装 。 选 择 步骤 4 后 ， 在 弹出 


的 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 。 


TM Maveoft Exchange smve 2007 宁 1 


£3| = 


Moh rawnee NX 更 新 


Merosoft Exchenge Server 使 用户 可 以 发 渤 和 增强 
Rm PR 
TM Maceoft Forefront™ sea for Excharge Server 
KM Fostert searty fo xorge see 


Xchange Server2007 


图 10-7 安装 Exchange Sever 2007 


关 半 


(3) 在 如 图 10-8 所 示 的 “许可 协议 ”界面 中 ， 选 中 “我 接受 许可 协议 中 的 条 款 ” 单 选 
按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 10-8 所 示 。 


p24 Exchange Server 2007 SP1 安装 程序 
Ed | 许可 多 
国语 册 议 lier nokt Bacheney Server 2007 Pl, 
Dae | 
} B 3 
二 MICROSOFT 软件 许可 条 款 
口才 MICROSOFT EXCHANGE SERVER 2007 
WITH SERVICE PACK 1 ENTERPRISE 
EDITION、 STANDARD EDITION、 
EVALUATION EDITION 
在 地 的 _Microsoft 
网 党 i 开外 下 Dn 内 别 
我 近 计 可 协议 中 的 条 教 Q)。 和 四 
我 + 接受 许可 从 议 由 站 康 租 0)。 
者 助 0 《上 -- 步 6) || -$m >] 取消 


图 10-8 查看 许可 协议 


(4) 在 显示 的 “错误 报告 ”界面 中 ， 询 问 是 否 愿意 启用 错误 报告 的 功能 ， 即 系统 出 现 
错误 时 ， 是 否 自动 向 微软 公司 传送 报告 ， 选 择 后 单 击 “ 下 一 步 ”按钮 ， 如 图 10-9 所 示 。 
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中 Exchange Server 2007 SP1 安装 程序 


日 简介 讲 避 报告 
加 许可 协议 ES 软件 初 最 务 的 岳 重 、 可 千 性 和 性能， 我 们 特攻 请 您 上 用 错误 
口 错误 把 告 是 


口 安村 型 如 果 启 用 祷 闫 报 各 ] 


moo Es0 [sm] mW | 
10-9 ”是 否 启用 错误 报告 功能 


(5) 接 下 来 显示 “安装 类 型 ”界面 ， 如 图 10-10 所 示 ， 可 以 选择 典型 安装 ， 也 可 以 选 
择 自 定义 安装 。 如 果 选 择 典型 安装 ， 系 统 将 自动 安装 集线器 传输 服务 器 角色 、 客 户 端 访问 
服务 嚣 角色、 邮箱 服务 器 角色 和 Exchange 管理 工具 。 如 果 选 择 自 定义 安装 ， 则 除 上 述 4 
个 选项 外 ， 又 多 出 统一 消息 和 边缘 传输 两 个 角色 可 供 选择 。 在 此 选择 典型 安装 ， 并 且 安 装 
路 径 保持 默认 值 不 变 ， 然 后 单 击 “ 下 一 步 ”按钮 。 


次 | Exchange Server 2007 SP1 安装 程序 
可 简介 
加 许可 协议 He a Server 安装 类 型 
日 锚 没 报告 河 edenge Sorver - 典型 雪 装 [) | 
9 和 
口 准备 情况 检查 
后 进展 
日 完成 
edhanee Server 自 定义 安装 CC 
5 通过 此 选项 : tn sey 
六 chnee 管理 入 所 对 

指证 Exchante Server 的 可 半路 径 G) 

Fer PilesWHerosoEtVExdhange Server 济 D.- 
孝 助 上 0 《上 - 步 og) 取消 


10-10 选择 安装 类 型 和 安装 路 径 


(6) 在 下 一 个 界面 中 ， 安 装 程序 要 求 指定 Exchange 组 织 名 称 ， 在 此 保持 默认 值 First 
Organization 不 变 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 10-11 所 示 。 
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人 Exzchange Server 2007 SP1 安装 程序 


加 简介 Exchange 组 织 
加 许可 协议 请 指定 此 Exchange 组 织 的 名 称 5) 


二 00 tsm|[rsm>] ws | 
图 10-11 指定 Exchange 组 织 名 称 


(7) 在 下 一 个 界面 中 询问 是 否 支 持 早期 客户 端 版 本 ， 在 此 选择 “是 ”， 然 后 单 击 “ 下 
- 步 ” 按 钮 ， 如 图 10-12 所 示 。 


3 Exchange Server 2007 SP1 安装 程序 


加 简介 客户 庙 设 置 
加 许可 协议 这 二 2003 以 如 村 
品 描 报告 ech 
口 安 关 类 提 出 
日 Exchanee 组 织 和 沁 吉 提 生 00 攻克 
加 客户 出 设置 | Wy 
a 多 杰 存 在 任何 正在 运行 Outlook 2003 以 及 更 早 版 本 或 Entoures 的 
口 进 度 人 是) 
口 完成 广 否 O) 
都 助 0 《< 上 - 步 因 | [下 -= 步 om > 职 消 


10-12 选择 支持 早期 客户 端 版 本 
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(8) 接 下 来 是 准备 情况 检查 ， 安 装 程序 将 对 系统 进行 检查 ， 检 查 能 否 成 功 安装 
Exchange。 在 实际 安装 过 程 中 ， 这 一 步 经 常会 检查 出 一 些 问题 ， 有 的 需要 安装 补丁 程序 ， 
有 的 需要 启动 某 个 服务 ， 有 的 需要 添加 某 个 组 件 。 

下 面 是 准备 情况 检查 未 通过 的 一 个 例子 。 原 因 是 Web 服务 器 的 “动态 内 容 压 缩 ” 角色 
服务 没有 添加 ， 如 图 10-13 所 示 。 


| 

eI3| Exchange Server 2007 SP1 安装 程序 

加 简介 | 准备 情 吕 检查 

四 许可 协议 将 对 系统 和 服务 器 进行 检查 ， 以 查看 是 否 可 以 支 装 Exchange* 

站 措 误 报告 已 用 时 间 : 00:01:10 

口 安装 类 型 摘要 :4 个 项 目 。 3 个 成 功 ,1 个 失败 。 
日 Exchanee 组 织 已 组 织 先决 条 件 Ocar a 
口 客户 设置 已 用 时间 : 00:01:01 

日 准备 情况 检查 二 集 线 品 传 给 朋 色 先 志 条 件 EAR a 

日 进 度 

已 完成 EE 32 位 版 本 的 Exchange Server 2007。 


"的 SNTP 连接 器 或 发 送 连接 器 。 到 


Internet 可 


已 用 时 间 : 00:00:03 
名 宫 户 满 访问 角色 先 块 条 件 Qa 4 
锚 误 
要 求 安装 “IIS 7 Dynamic Content Compression” 组 件 。 请 通过 服务 器 
管理 器 安 装 此 组 件 。 
逮 忆 授 作 
警告 
生产 环境 中 不 支持 32 位 原本 的 了 chenge Server 2007。 FF 
选择 CtrltC 可 自制 此 页 的 内 容 。 
wm Eg)| 是 


图 10-13 ”准备 情况 检查 未 通过 


解决 的 办 法 就 是 打开 “服务 器 管理 器 ”， 在 左 侧 窗 格 中 选择 “Web 服务 器 (IIS)”， 在 
右 侧 的 窗 格 中 单 击 “ 添 加 角色 服务 ”， 如 图 10-14 所 示 。 


| ERB ser/ oz EM 


I I 


图 10-14 单 击 “ 添 加 角色 服务 ” 


单 
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在 弹出 的 “添加 角色 服务 ”向 导 中 ， 如 图 10-15 所 示 ， 选 中 “动态 内 容 压 缩 ” 复 选 框 ， 
乓 “下 一步 ”按钮 ， 完 成 “动态 内 容 压 缩 ” 角 色 服务 的 添加 。 


FE 人 Ts xz |_w | 
图 10-15 选择 “动态 内 容 压 缩 ” 


回 到 如 图 10-13 所 示 的 对 话 框 ， 单 击 “ 重 试 ”按钮 ， 完 成 准备 情况 检查 ， 如 图 10-16 


所 示 ， 并 在 此 对 话 框 中 单 击 “ 安 装 ” 按 钮 ， 继 续 进 行 Exchange 的 安装 。 


pA Exchange Server 2007 SP1 安装 程序 
简介 准备 情况 检查 
加 许可 协议 将 对 系统 和 服务 器 进行 检查 ， 以 查看 是 否 可 以 安装 Exchanee。 
日 增 训 报告 已 用 时 间 : 00:01:01 
i 摘要 : 4 个 项 目 。4 个 成 功 ，0 个 失败 。 
加 xchange 组 织 。 | 名 组 织 先决 条 件 @ca 4 下 
加 客户 六 设置 已 用 时 间 : 00;00:51 
口 准备 情况 检查 > 集 线 器 传 东 角色 先天 条 件 [ 
口 进度 | 
口 完 成 ET 32 位 版 本 和 Exchange Server 2007。 
Wr me 
已 用 时 间 : 00:00:03 
乌 容 户 湛 访 问 角 色 先决 条 件 OCA 


ET 32 位 版 本 的 Exchange Server 2007。 


已 用 时 间 : 00:00:03 
忆 邮箱 角色 先决 条 件 优 CaR a 
于 到 
选择 ctrltC 可 复制 此 页 的 内 容 。 
Lamm | | 畏 


10-16 单 击 “ 安 装 ” 按 钮 
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(9) 经 过 一 段 时 间 的 等 待 ， 将 出 现 安装 完成 对 话 框 ， 如 图 10-17 所 示 。 在 此 对 话 框 中 
单 击 “ 完 成 ”按钮 ， 将 返回 Exchange 安装 起 始 对 话 框 ， 单 击 “ 关 闭 ” 按 钮 ， 重 新 启动 计算 
机 ，Exchange Server 2007 SP1 安装 结束 。 


| Exchange Server 2007 SP1 安装 程序 


目 简 介 完成 
加 许可 协议 下 列 服务 器 角色 已 成 功 安装 *。 若 要 关闭 问 导 ， 请 单 击 “ 完 成 ”。 
日 措 误 报告 已 用 时 间 : 00:19:49 
口 安 装 类 型 已 成 功 去 装 。 无 模 误 。 
四 Ixcheng 组 织 。 | .各 组 织 准 和 @asg a| 
口 客户 设置 已 用 时 间 : 00:03:10 
口 准备 情况 检查 忆 页 制 zxchwnge 文件 OEaR x 
口 进度 已 用 时 间 : 00:04:11 
日 寺 成 
中 官 理 I 具 OaAR a 
已 用 时 间 : 00:00:30 
7 集 线 吕 传输 前 色 Oar 4 
已 用 时 间 : 00:04:41 
总 容 户 滑 访 问 角 双 OcaK 
已 用 时 间 : 00:02:41 
训 邮 往届 色 OPA 4 
已 用 时 间 : 00:04:35 
选择 Ctrltc 可 复制 此 页 的 内 容 。 
你 使 用 Exchangs 管理 控制 台 完 成 支 装 上 L)。 
部 助 0 了 取消 


图 10-17 安装 完成 


安装 完成 重新 启动 计算 机 后 ， 需 要 确认 安装 是 否 正确 ， 有 如 下 项 目 需 要 进行 检查 : 

(1) 核对 “所 有 程序 ”菜单 中 是 否 存在 “Microsoft Exchange Server 2007” 子 菜单 ， 其 
中 应 该 包括 “Exchange Server 帮助 ”、“Exchange 管理 控制 台 ”、“Exchange 命令 行 管 
理 程 序 ”3 项 ， 如 图 10-18 所 示 。 其 中 的 “Exchange 管理 控制 台 ” 和 “Exchange 命令 行 管 
理 程 序 ” 是 两 个 非常 重要 的 管理 程序 ， 在 后 续 工 作 中 经 常 使 用 。 


CITE 
文件 中。 操作 (WA) 查看 帮助 00 
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中 Exchange 安全 组 - 通用 。 This group contains 
总 Exchanee .安全 组 - 通用 。 Users in this mom 
跑 ExchangeL .， 安 全 组 -通用 This group is for in 


回国 Builtin 

田 司 Conputers 

回国 Donsin Controllers 

田园 Foreimsecurityprincipalz 
2 Merosoft Exchange Security Group 
Vsers 


到 


| I 
图 10-18 ”Microsoft Exchange Security Group 组 织 单元 


(2) 核对 “Active Directory 用 户 和 计算 机 ”管理 窗口 中 是 否 出 现 以 “Microsoft Exchange 
Security Groups” 命 名 的 组 织 单位 ， 其 中 包含 一 些 Microsoft Exchange 使 用 的 通用 安全 组 ， 
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如 图 10-19 所 示 。 
如 果 检 查 通过 , 系统 就 可 正常 使 用 了 。 在 下 一 节 将 使 用 Exchange 管理 控制 台 建立 邮箱 。 
BD Nicrosoft Exchange Server 2007 
国 Echange Server 帮助 


如 Exchanse 管理 控制 台 
夯 zxchange 命令 行 管理 程序 


图 10-19 Microsoft Exchange Server 2007 子 菜单 


10.3 ”建立 用 户 邮 箱 


建立 用 户 邮 箱 可 以 使 用 “Exchange 管理 控制 台 ”， 也 可 以 使 用 “Exchange 命令 行 管理 
程序 ”， 这 里 使 用 “Exchange 管理 控制 台 ” 来 完成 这 一 工作 。 步 骤 如 下 : 

(1) 以 Administrator 身份 登录 域 , 选择 “开始 ”一 “所 有 程序 ”一 “Microsoft Exchange 
Server 2007” 一 “ Exchange 管理 控制 台 ” 命 令 ， 打 开 “Exchange 管理 控制 台 ” 窗 口 ， 展 
开 “ 收 件 人 配置 ”， 选 择 “邮箱 ”， 如 图 10-20 所 示 。 


[ETTTTT3 


文件 四 “各 作 内 下 看 部 助 00 _ = 
和 村] 力 | 四 | 四 | 
Eero Behmer 下 邮箱 - test.edu.cn 


10-20 “Exchange 管理 控制 台 窗口 


(2) 在 右 侧 的 窗 格 中 选择 “新 建 邮箱 ”， 系 统 弹 出 新 建 邮 箱 向 导 对 话 框 。 首 先是 选择 
邮箱 类 型 ， 这 里 选择 “用 户 邮 箱 ”， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 10-21 所 示 。 
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简介 
日 用 户 类 型 起 抽 对 现 有 用 户 局 


选择 邮箱 类 型 。 
用户) 
此 地 福 为 用 户 所 有 ， 用 于 必 送 和 接收 邮件 。 此 地 箱 不 能 用 于 深 源 调度 ~ 
C Seen) 
用户 所 有 与 资 大 邮 条 关联 的 用 广 帐 广 特 补 
个 设备 邮 往 台 ) 
箭 计 用 于 讼 条 调 区 ， 并 所 用 户 所 有 与 光源 邮 究 关 科 的 闪 户 加 户 竺 久生 
ee] 
信任 林 中 的 安 字 主 伟 是 户 ) 


于 县 00 


ES mn 
图 10-21 选择 邮箱 类 型 


(3) 选择 “用 户 类 型 ”， 如 图 10-22 所 示 ， 可 以 选择 为 “新 建 用 户 ” 建 立 邮箱 ， 也 可 
以 选择 为 “ 现 有 用 户 ” 建 立 邮箱 。 如 果 选 择 为 “ 现 有 用 户 建立 邮箱 ”， 下 一 步 就 会 要 求 在 
域 中 选择 一 个 现 有 的 用 户 ， 否 则 就 自动 在 域 中 新 建 一 个 用 户 与 新 建 的 邮箱 关联 ， 因 为 在 
Exchange Server 2007 中 每 个 邮箱 都 需要 一 个 域 用 户 与 之 关联 。 这 里 选择 “新 建 用 户 ”， 然 
后 单 击 “ 下 一 步 ”按钮 。 


ee 沙 新 建 邮箱 


四 简介 


用 户 类 型 
占用 户 类 型 本 以 新 建 用 户 ， 也 可 以 选择 要 为 其 新 建 邮箱 的 现 有 用 户 * 
口 亲 邮 条 为 以 下 用 户 8 键 邮 条 : 
EE 人 新 浸 用 户 ) 
个 规 有 用 户 台 ) 

业 入 类 0 

| 名 称 ] 组 织 单位 J 
者 助 00 


《上 - 步 ol) 取消 
图 10-22 选择 用 户 类 型 


(4) 如 图 10-23 所 示 ， 输 入 用 户 及 所 在 组 织 单位 的 相关 信息 ， 单 击 “ 下 一 步 ”按钮 。 
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mm 四 mn 
图 10-23 输入 用 户 信息 


(5) 在 显示 的 “邮箱 设置 ”对 话 框 中 ， 如 图 10-24 所 示 ， 其 中 “别名 ”字段 默认 显示 
“用 户 登 录 名 (用 户主 体 名 称 )”， 不 过 可 以 修改 此 字段 。“ 邮 箱 数 据 库 ” 字 段 不 能 为 空 ， 
必须 单 击 “ 浏 览 ” 按 钮 选择 一 个 邮箱 数据 库 ， 此 邮箱 数据 库 用 于 存储 新 建 邮箱 的 数据 ， 如 
图 10-25 所 示 。 


TE 
加 文件 0) 宣 看 VW) 
ba “su 执 守 号 ); 开 好 宣 拔 00 于 区 ) 
bd ort ge 
Rae En. niintmmtn, 
aa 咒 

3 Pr = 

ram ch 

a eae A 

| 
RD RR 
育 定 
ww | X39-35)] en | wi 措 1 小 对 锡 。 ,1 
10-24 ”邮箱 设置 10-25 选择 邮箱 数据 库 


(6) 选择 完成 后 ， 如 图 10-26 所 示 ， 这 里 可 以 保留 不 选中 “托管 文件 夹 邮箱 策略 ”和 
“Exchange ActiveSynec 邮箱 策略 ”两 个 复 选 框 。 单 击 “ 下 一 步 ” 按 钮 。 


人 
A | 本 用 Fe 和 Saito 


Cj am | 一 到 
图 10-26 完成 邮箱 设置 
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(7) 如 图 10-27 所 示 ， 阅 读 摘要 后 ， 如 果 要 修改 配置 内 容 ， 可 以 单 击 “ 上 一 步 ” 按 钮 。 
如 果 不 修 改 ， 就 单 击 “ 新 建 ” 按 钮 。 


BO 可 有 捉 39 再 ， 


mm tem) wn 
图 10-27 完成 邮箱 设置 


(8) 最 后 出 现 “ 完 成 ”界面 ， 在 此 可 以 查看 邮箱 是 否 建立 成 功 ， 同 时 也 显示 建立 邮箱 
的 Exchange 命令 行 管理 程序 命令 ， 如 图 10-28 所 示 。 


cc Mt 


mum Ean es 
10-28 “完成 ”对 话 框 


(9) 单 击 “ 完 成 ”按钮 后 回 到 Exchange 管理 控制 台 ， 在 此 可 以 看 到 新 建 的 用 户 邮箱 ， 
如 图 10-29 所 示 。 


图 10-29 新 建 的 用 户 邮箱 


与 新 建 邮 箱 关联 的 域 用 户 可 以 在 “Active Directory 用 户 和 计算 机 ”窗口 中 看 到 ， 如 图 
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10-30 所 示 。 
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图 10-30 与 新 建 邮箱 关联 的 域 用 户 
用 同样 的 方法 再 建立 一 个 邮箱 ， 地 址 是 Peter@test.edu.cn。 


10.4 客户 端的 使 用 


10.4.1 使 用 OWA 收发 邮件 


OWA 是 Outlook Web Access 的 缩写 。 在 安装 Exchange 服务 器 时 , 已 经 在 服务 器 上 创 
建 了 一 个 Web 站 点 。 选 择 “ 开 始 ” 一 “管理 工具 ”一 “Intemet 信息 服务 (IIS) 管 理 器 ” 命 
令 ， 依次 展开 “网 站 ”一 “Default Web Site”， 如 图 10-31 所 示 ， 可 以 看 到 其 中 有 一 个 owa 
虚拟 目录 ， 客 户 端 可 以 通过 浏览 器 连接 这 一 虚拟 目录 ， 只 要 通过 身份 验证 ， 就 能 访问 其 个 
人 邮箱 ， 并 进行 邮件 收发 。 
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图 10-31 IIS 管理 器 窗口 显示 owa 虚拟 目录 
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下 面 操作 的 一 台 客 户 机 安装 的 是 Windows XP 操作 系统 。 打 玫 
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F“ 本 地 连接 ”的 “TCP/IP 


属性 ”对 话 框 ,使 用 固定 他 地址 设置 ,如 图 10-32 所 示 . 客 户 机 的 下 地 址 设 为 192.168.1.103， 
首选 DNS 服务 器 地 址 设 为 192.168.1.100( 本 章 把 域 控制 器 、Exchange 服务 器 、DNS 服务 器 


安装 在 同一 台 计 算 机 上 ， 其 人 P 地 址 是 192.168.1.100)， 设 置 完 
ping 通 192.168.1.100， 如 医 


图 10-32 


10-33 所 示 。 
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ping 192.168.1.188 


198 
198 


192-168-1-198 
192.168.1 


198 


图 10-33 客户 端 执行 ping 命令 的 结果 


Windows XP 客户 端 亿 地 址 设置 


在 DNS 服务 器 上 w2008svl.test.edu.cn 应 该 能 解析 成 192.168.1.100， 


=l9l¥] 
文件 0) 所 作风 查看 Mm 亲 助 00 
"中 x 日 
下 
bh 
, 
四 划 


10-34 ”Ww2008svl.test.edu.cn 在 DNS 中 的 解析 


后 ， 必 须 保证 在 客户 端 能 


如 图 10-34 所 示 。 
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接 下 来 在 客户 机 上 打开 正 浏 览 器 ， 在 地 址 栏 中 输入 https://w2008svl.test.edu.cn/owa， 


此 时 会 看 到 “此 网 站 的 安全 证 书 有 问题 ”的 提示 ， 如 图 10-35 所 示 。 这 是 由 于 Exchange 服 
务 器 与 客户 机 之 间 采 用 加 密 通 信 ， 需 要 在 服务 器 上 安装 “安全 证 书 ”， 在 Exchange 服务 器 


安装 过 程 中 , 安装 了 一 个 自 签 的 安全 证 书 , 但 并 非 公共 信任 的 证 书 ,所 以 才 出 现 这 个 提示 。 
可 以 忽略 它 ， 单 击 “ 继 续 浏 览 此 网 站 ”。 


图 10-35 连接 owa 站 点 


接 下 来 显示 Office Outlook Web Access 登录 页 面 ， 如 图 10-36 所 示 。 输 入 用 户 名 和 密 
码 ， 然 后 单 击 “ 登 录 ” 按 钮 。 
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图 10-36 ”Office Outlook Web Access 登录 页 面 


在 语言 和 时 区 选择 页 面 ， 选 择 后 单 击 “确定 ”按钮 ， 如 图 10-37 所 示 。 
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图 10-37 语言 和 时 区 选择 页 面 
下 面 就 进入 了 Andy 的 个 人 邮箱 ， 如 图 10-38 所 示 。 
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图 10-38 Andy 的 个 人 邮 


进入 个 人 邮箱 后 ， 可 以 完成 很 多 工作 ， 但 本 节 的 重点 是 基本 的 邮件 收发 功能 ， 因 此 其 
他 功能 暂且 不 提 。 要 发 送 一 封 邮 件 ， 可 以 单 击 “ 新 建 ” 按 钮 ， 接 下 来 会 出 现 邮 件 书 写 页 面 ， 
如 图 10-39 所 示 。 

在 这 里 可 以 输入 需要 的 主题 ， 书 写 邮 件 的 内 容 ， 可 以 在 收 件 人 栏 中 直接 手工 填 入 收 件 
人 的 邮箱 地 址 ， 还 可 以 单 击 “ 收 件 人 ”， 在 弹出 的 “通讯 短 ” 对 话 框 中 选择 收 件 人 ， 如 图 
10-40 所 示 。 在 此 对 话 框 中 双击 Peter， 选 择 Peter 作为 收 件 人 ， 然 后 单 击 “ 确 定 ”按钮 返回 
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邮件 书写 页 面 。 
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图 10-39 ”邮件 书写 页 面 
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10-40 ”通讯 簿 对 话 框 


返回 邮件 书写 页 面 后 ， 输 入 相应 内 容 ， 如 图 10-41 所 示 。 最 后 单 击 “ 发 送 ” 按 钮 来 完 
成 邮件 的 发 送 。 


[无 标题 邮件 
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加 收 件 人 .， Pster 
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您 好 Peter' 


您 的 新 借 书证 已 经 办 好 ， 请 及 时 到 图 书馆 领取 
图 10-41 邮件 发 送 
接 下 来 单 击 邮 箱 页 面 右上 角 处 的 “注销 ”按钮 。 注 销 之 后 再 以 Peter 登录 ， 进 入 Peter 


的 个 人 邮箱 ， 如 图 10-42 所 示 。 在 此 能 够 看 到 Andy 发 过 来 的 邮件 ， 双 击 该 邮件 就 能 看 到 
邮件 的 内 容 ， 如 图 10-43 所 示 。 
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图 10-42 双击 Andy 发 来 的 邮件 图 10-43 ”阅读 邮件 的 页 面 


10.4.2 Outlook 的 使 用 


使 用 owa 可 以 在 客户 端 进行 邮件 收发 ,使 用 Outlook 2007 也 能 在 客户 端 进行 邮件 收发 。 
使 用 owa 时 ， 只 要 客户 端 有 正 浏览 器 就 不 需要 再 安装 额外 的 软件 了 。 但 是 ， 使 用 Outlook 
2007 则 必须 在 客户 端 安装 Outlook 2007 软件 ,不 过 Outlook 2007 的 功能 更 丰富 ， 界 面 更 漂 
亮 。 下 面 要 操作 的 是 网 络 中 的 另外 一 台 计 算 机 ， 安 装 的 操作 系统 是 Windows Server 2003 。 
步骤 如 下 : 

(1) 首先 进行 人 P 地 址 的 设置 ， 如 图 10-44 所 示 。 然 后 要 保证 能 ping 通 192.168.1.100。 

本 到 


介 自动 获得 DNS 服务 器 地 址 外) 
人 使 用 下 面 的 DNS 服务 器 地 址 @E): 一 一 一 一 一 一 一 一 一 一 
首选 DNS 服务 器 中 ); 192 .168 . 1 .100 

备用 DNS 服务 器 惧 ) 


图 10-44 耳 地 址 设置 


(2) 在 DNS 服务 器 中 要 添加 一 条 A 类 型 的 记录 ， 确 保 把 autodiscover.test.edu.cn 解析 
为 192.168.1.100， 如 图 10-45 所 示 。 这 是 Outlook 2007 客户 端 进行 “自动 配置 ”所 需要 的 
一 个 重要 步骤 。 
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= | 国生 父 文件 夫 相 网 ) 主机 QO) 1 458 1.100 
站 生父 文件 夫 相 同 ) 邮件 交接 车 17) [10] wa008svl_ test * 
作文 件 去 担 ， 5 2001 04%: 1057 -0000:0, 


EPP TE TE 


Ek 


10-45 ”解析 autodiscovertestedu.cn 


(3) 这 里 不 介绍 Outlook 2007 的 安装 ， 假 定 此 计算 机 并 未 加 入 域 ， 且 Outlook 2007 的 
安装 已 经 完成 。 下 面 介 绍 Outlook 启动 时 ， 进 行 登录 所 需要 的 “电子 邮件 帐户 ”的 配置 过 
程 。 在 控制 面板 中 选择 “邮件 ”命令 ， 如 图 10-46 所 示 。 


图 10-46 选择 “邮件 ”命令 


(4) 弹出 “邮件 设置 ”对 话 框 ， 在 此 对 话 框 中 单 击 “ 电 子 邮 件 帐 户 ” 按 钮 ， 如 图 10-47 
所 示 。 


国 
电子 邮件 帐户 
E 村 设置 电子 邮件 帐户 和 目录 。 EE 
数据 文件 
Dutlook 存储 电子 邮件 和 文档 的 文件 设 。 ”数据 文件 玫 ) 
.从 本 


en | 


关闭 @) 
图 10-47 单 击 “电子 邮件 帐户 ”按钮 


(5) 在 弹出 的 帐户 设置 对 话 框 中 ， 打 开 “ 电 子 邮 件 ” 选 项 卡 ， 单 击 “ 新 建 ”按钮 ， 如 
图 10-48 所 示 。 
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图 10-48 打开 “电子 邮件 ”选项 卡 
(6) 在 选择 “电子 邮件 服务 ”界面 中 ， 选 择 第 一 项 ， 如 图 10-49 所 示 ， 然 后 单 击 “ 下 


一 步 ”按钮 。 


二 | 
图 10-49 选择 电子 邮件 服务 


(7) 在 “自动 帐户 设置 ”界面 中 ， 输 入 姓名 、 邮 件 地 址 、 密 码 ， 但 不 要 选中 “手动 配 
置 服务 器 设置 或 其 他 服务 器 类 型 ”， 如 图 10-50 所 示 ， 然 后 单 击 “ 下 一 步 ”按钮 。 


图 10-50 ”自动 帐户 设置 
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(8) 紧 接 着 显示 “正在 配置 ”界面 ， 如 果 autodiscover.test.edu.cn 不 能 被 正确 解析 ， 自 

动 配置 过 程 就 不 可 能 成 功 。 本 章 开始 进行 了 正确 的 DNS 配置 ， 因 
利 完成 ， 如 图 10-51 所 示 。 然 后 单 击 “ 完 成 ”按钮 。 


此 这 里 的 自动 配置 也 顺 


ET 


Gd 
视 贺 疾 


下 开本 置 电子 凶 牢 服务 器 设 轩 ， 记 可 能 珊 要 几 分 名 
~ 于 立 Fi 本 
~ 提 天 peter@test eth cr 服务 器 认 填 
~ 3 


3 时 吉 作 由 户 已 现 配 置 为 代 有 Nicroseft Exchange, 


图 10-51 正在 配置 


(9) 下 边 显示 “邮件 送 达 位 置 ”对 话 框 ， 在 其 中 单 击 “ 确 定 ”按钮 ， 如 图 10-52 所 示 。 
要 


站) 衣 二 加 旧 erosoft Exehanes 帐户 ， 修 已 更 竣 了 某 上 新 电子 邮件 和 日 万 信 息 的 保存 位 置 
YY 这 些 更 改 将 在 下 次 启动 0utlook 时 生效 。 


5 六 | 


[| 
图 10-52 ”邮件 送 达 位 置 


(10) 此 时 返回 “帐户 设置 ”对 话 框 ， 如 图 10-53 所 示 ， 然 后 单 击 “ 关 闭 ” 按 钮 ， 完 成 
电子 邮件 帐户 的 设置 。 


本 
电子 邮 疼 怀 户 
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刁 新 时 人 区 休 复 国字 页 了 加 到 XMRV + + 


这 赴 的 电子 邮件 体 户 稳 新 电 寺 和信 送 到 以 下 位 置 - 
岂 科 - Teter\ 收 件 共 


图 10-53 “帐户 设置 ”对 话 框 
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对 于 “安全 警告 ”的 说 明 : 如 图 10-54 所 示 的 安全 警告 ， 是 由 于 安全 证 书 问题 引起 的 ， 
它 会 在 Outlook 2007 的 配置 和 使 用 过 程 中 偶尔 出 现 。 在 本 书 的 实验 环境 中 ， 对 于 这 种 现象 
可 以 忽略 ， 直 接 选择 继续 ， 这 样 不 会 影响 邮件 的 收发 。 


是 四 否 如 | _ 坦 看 证 书 四 ，， 
图 10-54 ”安全 警告 


(11) 下 边 启动 Outlook 2007， 选 择 “ 开 始 ” 一 “所 有 程序 ”一 “Microsoft Office” 一 
“Microsoft Office Outlook 2007” 命 令 ， 立 刻 就 会 弹出 一 个 登录 对 话 框 ， 如 图 10-55 所 示 ， 
在 此 对 话 框 中 输入 刚刚 配置 好 的 用 户 名 和 对 应 的 密码 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
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图 10-55 ”登录 对 话 框 


(12) 接 下 来 进入 Peter 的 个 人 邮箱 , 如 图 10-56 所 示 , 在 此 也 能 看 到 Andy 发 来 的 邮件 ， 
因为 不 管 是 owa 还 是 Outlook 打开 的 都 是 Peter 的 个 人 邮箱 ， 因 此 看 到 的 邮件 是 相同 的 。 

如 果 要 发 一 份 送 邮 件 ， 就 单 击 左 上 角 的 “新 建 ” 按 钮 ， 系 统 会 弹出 邮件 书写 窗口 ， 如 
图 10-57 所 示 。 
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10-56 ”Outlook 的 主 窗口 图 10-57 Outlook 的 邮件 书写 窗口 
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(13) 在 邮件 书写 窗口 中 ， 单 击 “ 收 件 人 ”按钮 ， 将 弹出 “全 球 通讯 簿 ”对 话 框 ， 在 其 
中 双击 Andy， 选 Andy 作为 收 件 人 ， 再 单 击 “ 确 定 ”按钮 ， 如 图 10-58 所 示 。 


EE 
入 加 ， 区 如 称 加 “全 更 2 到 们 适 乱 漂 四 
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3 下 TE 
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图 10-58 通讯 簿 对 话 框 


(14) 下 面 在 邮件 书写 窗口 中 填写 邮件 内 容 ， 然 后 单 击 “ 发 送 ”按钮 ， 将 邮件 发 送 到 
Andy 的 邮箱 ， 如 图 10-59 所 示 。 
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图 10-59 邮件 书写 窗口 


(15) 下 边 在 浏览 器 中 以 owa 的 方式 登录 Andy 的 邮箱 ， 就 能 看 到 Peter 刚刚 发 来 的 邮 
件 ， 如 图 10-60 所 示 。 


10-60 Andy 的 邮箱 
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在 Outlook 2007 中 经 常 自动 下 载 “ 脱 机 通讯 短 ”， 可 能 会 遇 到 一 个 错误 ， 如 图 10-61 


CTS3ETTTT3 =ISjxj 
[RD 


1 个 任务 中 的 0 个 已 成 功 完成 


所 示 。 


[ 
厂 发 送 /接收 时 不 显示 此 对 话 框 @) 


在 务 ” 钞 误 | 
《任务 “peter8test. edu cn” 报告 了 错误 0x80190194):“ 操 作 失 败 。” 


图 10-61 下 载 脱 机 通讯 簿 出 错 


这 一 错误 是 由 于 服务 器 设置 不 当 引 起 的 ， 解 决 方法 如 下 : 
在 Exchange 服务 器 上 打开 “Exchange 管理 控制 台 ”， 展 开 “ 服 务 器 配置 ”， 选 择 “ 邮 
箱 ”。 在 中 间 的 窗 格 中 右 击 “Mailbox Database”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 


如 图 10-62 所 示 。 
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10-62 “Exchange 管理 控制 台 ” 窗 口 
在 接 下 来 显示 的 “Mailbox Database 属性 ”对 话 框 中 ， 打 开 “ 客 户 端 设置 ”选项 卡 ， 
单 击 脱 机 通讯 短 的 “浏览 ”按钮 ， 如 图 10-63 所 示 。 
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图 10-63 “Mailbox Database 属性 ”对 话 框 


在 接 下 来 显示 的 “选择 脱 机 通讯 夭 ” 对 话 杠 中， 选择 “默认 脱 机 通讯 夭 ”， 单 击 “ 确 
定 ” 按 钮 ， 如 图 10-64 所 示 。 


图 10-64 “选择 脱 机 通讯 短 ” 对 话 框 
接 下 来 返回 “Mailbox Database 属性 ”对 话 框 ， 单 击 “确定 ”按钮 ， 如 图 10-65 所 示 。 


图 10-65 “Mailbox Database 属性 ”对 话 框 
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下 面 在 “Exchange 管理 控制 台 ” 中 ， 展 开 “ 组 织 配置 ”， 选 择 “ 邮 箱 ”， 在 中 间 的 窗 
格 中 打开 “ 脱 机 通讯 短 ” 选项 卡 ， 右 击 “ 默 认 脱 机 通讯 筹 ”, 在 弹出 的 快捷 菜单 中 选择 “更 
新 ”命令 ， 如 图 10-66 所 示 。 


加 ce 管理 控制 台 区 二 JI 
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图 10-66 更 新 默认 脱 机 通讯 簿 
在 接 下 来 显示 的 询问 对 话 框 中 单 击 “ 是 ”按钮 ， 如 图 10-67 所 示 。 
ee EE 


图 10-67 询问 对 话 框 


这 一 步 的 作用 是 产生 或 更 新 “默认 脱 机 通讯 短 ”， 但 是 “默认 脱 机 通讯 每 ”还 没有 发 
布 到 Web 站 点 。 如 果 要 立刻 发 布 ， 可 以 在 “Exchange 命令 行 管理 程序 ”中 执行 以 下 命令 : 

Update-filedistributionservice -identity w2008svl 

如 图 10-68 所 示 。 

这 样 就 可 以 解决 下 载 “ 脱 机 通讯 敌 ” 时 出 现 的 错误 了 。 


2008sv1 | Secope: test- edQ 


10-68 Exchange 命令 行 管理 程序 
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10.5 配置 集线器 传输 服务 器 


配置 面向 Intemet 的 集线器 传输 服务 器 的 步骤 如 下 : 

以 Administrator 的 身份 登录 域 ， 打 开 “Exchange 管理 控制 台 ”， 展 开 “ 组 织 配置 ”， 
单 击 “ 集 线 器 传输 ”， 在 中 间 的 窗 格 中 打开 “接受 域 ” 选 项 卡 ， 能 够 看 到 testedu.cn 这 一 接 
受 域 。 这 一 服务 器 上 邮箱 地 址 的 后 级 到 现在 为 止 都 是 @test.edu.cn， 例 如 Andy@testeud.cn、 
Peter@test.edu.cn 等 ， 就 是 因为 有 这 样 一 个 接受 域 ， 如 图 10-69 所 示 。 


图 10-69 “Exchange 管理 控制 台 ” 窗 口 


当 Internet 上 的 某 一 邮件 服务 器 向 Peter@test.edu.cn 发 一 封 邮 件 时 ， 它 怎样 才能 找到 
Peter 所 在 的 Exchange 服务 器 呢 ? 这 就 要 求 此 Exchange 服务 器 在 Internet 上 具有 可 用 的 下 
地 址 ， 在 公用 域名 系统 DNS) 服务 器 上 有 解析 该 地 址 的 A 类 型 记录 ， 并 且 注 册 了 接受 域 
test.edu.cn 的 MX 资源 记录 ， 如 图 10-70 所 示 ， 这 里 仅 是 在 内 部 DNS 上 的 一 个 演示 ， 并 非 
真正 公用 域名 系统 DNS) 服务 器 中 的 内 容 。 


C34], waoo8sl, test oa 


目 weosisewe 主机 办 1 168 1 100 
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图 10-70 “DNS 管理 器 ”窗口 


由 于 安全 原因 ， 默 认 情况 下 ， 集 线 器 传输 服务 器 不 能 直接 面 对 Intemet 收发 邮件 ， 需 
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要 经 过 边缘 传输 服务 器 才能 与 Internet 交换 邮件 。 本 章 的 操作 环境 中 不 安装 边缘 传输 服务 
器 角色 ， 所 以 必须 对 集线器 传输 服务 器 进行 配置 才能 使 Exchange 服务 器 与 mtemet 交换 邮 
件 。 配 置 步骤 如 下 : 

(1) 打开 “Exchange 管理 控制 台 ”， 展 开 “ 组 织 配置 ”， 单 击 “ 集 线 器 传输 ”， 打 开 
“发 送 连接 器 ”选项 卡 ， 然 后 在 操作 窗 格 中 单 击 “新 建 发 送 连接 器 ”， 如 图 10-71 所 示 。 
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图 10-71 单 击 “新 建 发 送 连 接 器 ” 


(2) 接 下 来 出 现 “ 新 建 SMTP 发 送 连接 器 ”向 导 的 “简介 ”界面 ， 在 “名 称 ”文本 框 
中 输入 连接 器 的 唯一 名 称 ， 这 里 输入 Intemet connector。 从 “选择 此 连接 器 的 预期 用 法 ” 
下 拉 列 表 中 ， 选 择 Internet 选项 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 10-72 所 示 。 


了 新建 smrP 发 送 连接 器 


Eb | ‘tm |[FEm 3] ms 
图 10-72 ”指定 发 送 连接 器 名 称 和 用 法 
G) 在 “地 址 空间 ”界面 中 ， 单 击 “ 添 加 ”按钮 ， 如 图 10-73 所 示 。 
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四 1 到 
人 的 ) 


Won Cs En 
图 10-73 ”地 址 空间 对 话 框 


(4) 在 “SMTP 地 址 空间 ”对 话 框 中 , 输入 “*”, 然后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 10-74 
所 示 。 


图 10-74 “SMTP 地 址 空间 ”对 话 框 


返回 “地 址 空间 ”界面 ， 如 图 10-75 所 示 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 


新 建 SNTP 发 送 桥 挫 器 
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to Eso wn 
图 10-75 ”添加 地 址 空间 完成 


(5) 在 “网 络 设置 ”界面 中 ， 选 择 “ 使 用 域名 系统 (DNS) 自 动 路 由 邮件 ”， 如 图 10-76 
所 示 。 
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| 暂 建 SMTP 发 适 连 按 器 
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图 10-76 ”选择 发 送 邮 件 的 方式 


(6) 单 击 “ 下 一 步 ” 按 钮 ， 在 “ 源 服务 器 ”界面 中 ， 选 择 组 织 中 的 一 台 或 多 台 集线器 
传输 服务 器 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 10-77 所 示 。 
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图 10-77 指定 源 服务 器 


(7) 在 “新 建 连接 器 ”界面 中 ， 单 击 “ 新 建 ”按钮 ， 如 图 10-78 所 示 。 
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过 择 Ctrl4c 可 县 制 此 而 内 至 > 
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10-78 查看 新 建 连接 器 配置 摘要 
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(8) 在 “完成 ”界面 中 单 击 “完成 ”按钮 ， 如 图 10-79 所 示 。 


下 新 建 SNTP 发 送 连接 器 
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以 上 是 新 建 发 送 连接 器 ， 目 的 是 向 Internet 发 送 邮 件 。 以 下 是 修改 默认 接收 连接 器 ， 
以 允许 匿名 连接 ， 目 的 是 接收 来 自 Intemet 的 邮件 。 

(9) 返回 “Exchange 管理 控制 台 ” 窗 口 后 , 展开 “服务 器 配置 ”, 单 击 “集线器 传输 ”， 
然后 在 “接收 连接 器 ”选项 卡 下 面 的 工作 窗 格 中 ， 选 择 “Default w2008sv1” 连 接 器 。 在 操 
作 窗 格 中 ， 单 击 “ 属 性 ”链接 ， 如 图 10-80 所 示 。 


LIgj 革 


图 10-80 ”设置 Default w2008svl 连接 器 的 属性 


(10) 在 “Default w2008sv1 属性 ”对 话 框 中 ， 打 开 “ 权 限 组 ”选项 卡 ， 选 择 “匿名 用 
户 ”， 人 允许 匿名 用 户 连 接 到 此 接收 连接 器 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 10-81 所 示 。 

通过 上 述 配置 ， 在 不 安装 边缘 传输 服务 器 角色 的 情况 下 ，Exchange 服务 器 也 能 与 
Intemet 交换 邮件 。 


“294 。 Windows Server 2008 系统 管理 


[ETIEETTEITT33 | 


常规 | 网 络 “| 身份 验证 权限 组 | 


取消 应 用 多 帮助 
图 10-81 人 允许 匿名 用 户 连 接 


10.6 ”邮箱 常用 操作 和 限制 


10.6.1 邮箱 空间 的 限制 


每 个 邮箱 都 要 占用 服务 器 硬盘 的 磁盘 空间 ， 如 果 不 对 邮箱 所 占 空间 进行 限制 ， 很 快 服 
务 器 的 磁盘 空间 就 会 用 尽 。 因 此 ， 对 邮箱 空间 进行 限制 ， 是 电子 邮件 服务 器 的 基本 功能 。 
下 边 介绍 如 何 进行 邮箱 空间 的 限制 。 
打开 “Exchange 管理 控制 台 ”， 展 开 “ 服 务 器 配置 ”， 单 击 “ 邮 箱 ”， 在 中 间 的 窗 
格 中 打开 “数据 库 管理 ”选项 卡 ， 单 击 “MailBox Database”， 在 操作 窗 格 中 单 击 “ 属 性 ” 
链接 ， 如 图 10-82 所 示 。 
chanee 管理 控制 台 zolx) 


文件 0) 所作 查看 w) 帮助 00 | 
加 只 | 六 [mm 日 [m | 
[en ome 下 
日 大 组 织 卫 轩 
邮 窒 
最 罕 六 
全 集 时 器 作答 RE | 
< 统一 消息 mm 已 。 审理 全 
ED 翅 新 建 丰 
E> 集 闭关 传输 | 口 mt 
Ly Mailbex Dat... 
工具 福 蚊 i 数据库 
Ss a Ss Gr 4 - 
日 元 second Sterege Croup - 
ie Tedder pub CiWvegrm 和 ~、 
ED 
帮助 了 


图 10-82 “Exchange 管理 控制 台 ” 窗 口 
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在 “Mailbox Database 属性 ”对 话 框 中 ， 打 开 “ 限 制 ” 选 项 卡 ， 从 中 可 以 看 到 “存储 
限制 ”， 对 邮箱 空间 的 限制 可 以 在 此 设置 ， 此 数据 库 中 的 所 有 邮箱 ， 默 认 情况 下 都 受 该 存 
储 限制 的 约束 ， 如 图 10-83 所 示 。 
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要 限制 个 别 邮箱 的 空间 ， 可 以 执行 下 面 的 操作 : 

打开 “Exchange 管理 控制 台 ”， 展 开 “ 收 件 人 配置 ”， 单 击 “ 邮 箱 ”， 在 中 间 的 窗 
格 中 单 击 选择 要 限制 空间 的 邮箱 所 对 应 的 名 称 ， 这 里 单 击 选 择 “Andy”， 在 操作 窗 格 中 单 
击 “ 属 性 ”， 如 图 10-84 所 示 。 
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图 10-84 选择 Andy 的 属性 


在 “Andy 属性 ”对 话 框 中 打开 “邮箱 设置 ”选项 卡 ， 单 击 “存储 配额 ”， 然 后 单 击 
“属性 ”， 如 图 10-85 所 示 。 
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图 10-85 选择 存储 配额 的 属性 
在 “存储 配额 ”对 话 框 中 ， 只 要 取消 了 存储 配额 下 的 “使 用 邮箱 数据 库 默 认 值 ” 复 选 
框 ， 就 可 以 对 当前 邮箱 的 空间 进行 限制 了 ， 如 图 10-86 所 示 。 
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图 10-86 个 别 邮箱 空间 限制 


10.6.2 邮箱 的 管理 


邮箱 的 管理 包括 对 邮箱 的 禁用 、 删 除 与 恢复 。 

在 电子 邮件 服务 器 上 除了 建立 邮箱 ， 还 需要 经 常 删除 不 用 的 邮箱 ， 除 此 之 外 Exchange 
Server 还 提供 了 禁用 和 恢复 邮箱 功能 ， 下 边 通过 具体 实例 来 介绍 这 些 功 能 的 使 用 。 

如 果 在 操作 窗 格 中 不 单 击 “ 属 性 ”， 而 单 击 “ 禁 用 ”， 则 会 弹出 “和 警告” 对话 框 ， 如 
图 10-87 所 示 ， 在 此 单 击 “ 是 ”按钮 ， 则 Andy 邮箱 就 被 禁用 ， 不 能 再 使 用 了 。 但 邮箱 并 
没有 真正 消失 ， 默 认 情况 下 ，30 天 之 内 都 能 被 恢复 。 
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图 10-87 禁用 邮箱 警告 


如 果 要 恢复 该 邮箱 ， 就 展开 “ 收 件 人 配置 ”， 单 击 “ 已 断 开 连接 的 邮箱 ”， 在 中 间 窗 


格 中 能 看 到 断 开 连 接 的 邮箱 “Andy”， 单 击 “Andy”， 并 在 操作 窗 格 中 单 击 “ 连 接 ”， 如 
图 10-88 所 示 。 
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图 10-88 单 击 “ 连 接 ” 


在 “连接 邮箱 ”对 话 框 的 “简介 ”界面 中 ， 选 择 “ 用 户 邮箱 ”， 单 击 “ 下 一 步 ”按钮 ， 
如 图 10-89 所 示 。 
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10-89 选择 用 户 邮箱 


在 “邮箱 设置 ”对 话 框 中 选择 “匹配 用 户 ”， 单 击 “ 浏 览 ”按钮 ， 如 图 10-90 所 示 。 
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在 “选择 用 户 ” 对 话 框 中 ， 选 择 “Andy”， 然 后 单 避 


fF “确定 ”按钮 ， 如 图 10-91 所 示 。 
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10-91 选择 Andy 用 户 


返回 “邮箱 设置 ”对 话 框 后 ， 单 击 “ 下 一 步 ”按钮 。 在 “配置 摘要 ”界面 中 单 击 “ 连 
接 ” 按 钮 ， 如 图 10-92 所 示 。 
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图 10-92 ”连接 禁用 的 邮箱 


然后 在 “完成 ”界面 中 ， 单 击 “完成 ”按钮 ， 最 后 完成 Andy 邮箱 的 恢复 。 
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如 图 10-93 所 示 ， 如 果 在 操作 窗 格 中 不 单 击 “ 属 性 ”， 而 单 击 “ 删 除 ”， 则 会 弹出 “和 警 
告 ”对 话 框 ， 在 “警告 ”对 话 框 中 单 击 “ 是 ”按钮 ， 则 Andy 邮箱 就 被 删除 。 但 邮箱 同样 
并 没有 真正 消失 ， 默 认 情 况 下 ，30 天 之 内 也 可 以 被 恢复 。 


图 10-93 ”删除 邮箱 


删除 邮箱 与 禁用 邮箱 不 同 ， 禁 用 邮箱 时 邮箱 对 应 的 域 用 户 不 会 被 删除 ， 但 删除 邮箱 时 
邮箱 对 应 的 域 用 户 将 被 删除 ， 打 开 “Active Directory 用 户 和 计算 机 ”就 会 发 现 被 删除 邮箱 
对 应 的 域 用 户 也 被 删除 了 。 因 此 恢复 被 删除 的 邮箱 前 需要 先 建 一 个 域 用 户 。 比 如 删除 Andy 
邮箱 后 ， 在 恢复 之 前 最 好 在 “Active Directory 用 户 和 计算 机 ”中 再 建 一 个 名 为 Andy 的 域 
用 户 ， 后 面 的 恢复 步骤 就 与 恢复 被 禁用 的 邮箱 一 样 了 。 


10.7 本 章 小 结 


Exchange Server 2007 是 一 个 功能 强大 的 电子 邮件 系统 和 企业 信息 平台 ， 本 章 只 是 简 
单 介绍 了 系统 的 安装 、 邮 箱 的 基本 操作 (建立 、 空 间 限 制 、 禁 用 、 删 除 和 恢复 )、 客 户 端 使 
用 Outlook 或 OWA 进行 邮件 的 收发 ,配置 集线器 传输 服务 器 直接 面向 ntemet( 虽 然 这 样 不 
够 安全 ， 但 完全 可 以 面 对 Intemet 收发 邮件 ) 几 个 方面 ， 不 过 这 些 配 置 已 经 完全 可 以 构建 一 
个 简单 可 用 的 邮件 系统 了 。 


10.8 思考 与 练习 


【思考 题 】 
1. Exchange Server 2007 中 的 服务 器 角色 分 为 几 类 ? 分 别 是 哪 几 类 ? 
2. 设置 边缘 传输 服务 器 角色 的 作用 是 什么 ? 
3. 安装 Exchange Server 2007 之 前 ， 需 要 添加 什么 服务 ?安装 哪些 软件 ? 


【练习 题 】 
建立 两 个 邮箱 ， 一 个 是 Tom 一 个 是 Jery， 分 别 用 OWA 和 Outlook 互 发 邮件 。 
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【本 章 导 读 】 

随 着 Internet 的 发 展 ， 各 种 网 络 的 带宽 都 在 不 断 增 加 ， 网 络 视频 服务 逐渐 兴起 ， 各 种 
视频 网 站 、 播 客服 务 如 雨后春笋 般 出 现 ， 在 一 定 程度 上 改变 了 人 们 的 生活 习惯 。 网 络 视频 
服务 具有 传输 速率 高 、 稳 定性 好 的 特性 ， 广 泛 用 于 电子 商务 、 新 闻 发 布 、 网 络 广告 、 视 频 
直播 、 影 视 直 播 、 远 程 教育 、 远 程 医 疗 和 视频 会 议 等 多 个 服务 领域 。 支 撑 网 络 视频 服务 攻 
孝 发 展 的 技术 就 是 流 媒 体 技术 。 微 软 公 司 也 开发 了 流 媒 体 技术 。 微 软 的 流 媒体 技术 是 基于 
其 自身 的 Windows Media 多 媒体 技术 ， 同 时 充分 利用 了 Windows Media Player 和 正 浏览 
器 的 技术 , 使 Windows Media 技术 在 流 媒 体 市 场 上 拥有 一 席 之 地 。Windows Server 2008 能 
够 良好 支持 这 些 技术 ， 使 用 户 能 够 方便 地 在 网 络 上 发 布 视频 信息 。 


11.1 流 媒体 服务 的 安装 


11.1.1 流 媒 体 概 述 


网 络 上 传输 音 视频 主要 有 两 种 方法 ， 一 是 非 实时 方式 ， 这 种 方式 要 求 用 户 将 整个 媒体 
文件 下 载 到 本 地 磁盘 ， 再 使 用 一 定 的 播放 软件 打开 ， 这 种 方式 媒体 质量 较 高 ， 但 是 带宽 占 
用 高 ， 如 果 不 全 部 下 载 还 不 能 观看 ;， 另 一 种 是 实时 方式 ， 也 就 是 采用 流 媒体 技术 的 方式 ， 
这 种 方式 允许 用 户 将 媒体 文件 下 载 一 小 部 分 到 本 地 磁盘 ， 并 且 直 接 播放 ， 实 现 边 下 载 边 播 
放 ， 使 用 上 更 加 方便 ， 但 是 受 网 络 带宽 影响 ， 影 音质 量 可 能 会 较 差 。 

常见 的 流 媒体 技术 有 Microso 全 公司 的 Windows Media, RealNetworks 公司 的 RealSystem， 
Apple 公司 的 QuickTime 等 。 


11.1.2” 流 媒体 传输 协议 


Windows Server 2008 上 的 流 媒 体 平 台所 采用 的 传输 协议 是 RTSP， 此 外 还 支持 HTTP 
协议 ， 而 在 此 之 前 Microsoft 公司 主推 的 MMS 协议 逐渐 淘汰 。 

e。 RTSP 协议 : Real Time Streaming Protocol， 实 时 流传 输 协议 ， 是 TCP/IP 协议 体系 

中 的 一 个 应 用 层 协 议 ， 由 哥伦比亚 大 学 、 网 景 和 Real Networks 公司 共同 开发 ， 使 

用 554 端口 。 该 协议 定义 了 一 对 多 应 用 程序 如 何 有 效 地 通过 人 P 网 络 传送 多 媒体 数 

据 。RTSP 在 体系 结构 上 位 于 RTP 和 RTCP 之 上 ， 它 使 用 TCP 或 RTP 完成 数据 传 
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输 。 RTSP 用 来 控制 声音 或 影像 的 多 媒体 串 流 协议 , 并 允许 同时 多 个 串 流 需求 控制 ， 
传输 时 所 用 的 网 络 通信 协议 并 不 在 其 定义 的 范围 内 ， 服 务 器 端 可 以 自行 选择 使 用 
TCP 或 UDP 来 传送 串 流 内 容 , 它 的 语法 和 运作 跟 HTTP 类 似 , 但 并 不 特别 强调 时 间 
同步 ， 比 较 能 容忍 网 络 延 迟 ， 而 且 可 以 根据 用 户 连接 的 带宽 进行 动态 调整 ， 用 户 可 
以 从 媒体 的 任意 时 间 点 开始 观看 媒体 问题 , 因此 比较 适合 用 于 网 络 上 传输 媒体 文件 。 

e。 HTTP 协议 : Windows Server 2008 的 流 媒体 平台 还 支持 HTTP 协议 。 使 用 HTTP 协 
议 传输 媒体 文件 ， 使 用 80 端口 ， 因 此 基本 上 不 受 防火 墙 限制 ， 使 用 方便 ， 兼 容 性 
好 ， 音 视频 质量 较 高 。 但 是 HTTP 协议 只 能 顺序 传输 媒体 文件 ， 因 此 不 能 任意 设置 
音 视 频 播放 的 起 始 时 间 点 ， 不 能 支持 现场 直播 ， 而 且 对 带宽 要 求 较 高 。 


11.1.3 点 播 与 广播 


流 媒体 播放 有 两 种 方式 ， 分 别 是 点 播 和 广播 。 

点 播 是 指 用 户主 动 与 服务 器 进行 连接 ， 用 户 可 以 选择 自己 想 看 的 节目 ， 服 务 器 响应 用 
户 的 请 求 ， 将 被 选择 节目 传输 给 用 户 。 在 播放 过 程 中 ， 用 户 可 以 对 播放 的 内 容 进行 开始 、 
停止 、 暂 停 、 快 进 和 快 退 等 操作 。 这 种 方式 使 用 户 较 大 的 自由 度 ， 但 是 由 于 每 个 用 户 和 服 
务 器 之 间 都 要 建立 一 个 单独 的 连接 ， 对 服务 器 的 性 能 和 网 络 带 宽 要 求 较 高 。 

广播 是 指 媒体 服务 器 主动 发 送 数据 ， 用 户 被 动 接受 媒体 文件 。 在 广播 过 程 中 ， 用 户 只 
能 接收 数据 ， 不 能 对 播放 的 内 容 进行 暂停 、 快 进 等 控制 ， 自 由 度 较 低 ， 但 是 对 服务 器 的 性 
能 及 带宽 要 求 低 于 点 播 模式 。 因 此 广播 方式 常用 于 网 络 广播 或 现场 直播 。 


11.1.4” 流 媒体 服务 的 安装 


Windows Server 2008 中 配备 的 新 一 代 多 媒体 内 容 发 布 平 台 Windows Media Services 
2008 可 以 在 32 位 和 64 位 的 Web 版 ,标准 版 ,企业 版 和 数据 中 心 版 的 Windows Server 2008 
中 进行 安装 。Windows Media Services 2008 的 应 用 环境 非常 广泛 ， 在 企业 内 部 应 用 环境 中 ， 
可 以 实现 点 播 方式 视频 培训 、 课 程 发 布 、 广 播 等 。 在 商业 应 用 中 ， 可 以 用 来 发 布 电 影 预告 
片 、 新 闻 娱 乐 、 动 态 插入 广告 、 音 频 视 频 服务 等 。 

Windows Media Services 2008 具备 以 下 核心 功能 。 


1. fast steaming 


这 个 功能 在 Windows Media Services 9.0 中 就 已 经 出 现 ， 在 Windows Media Services 
2008 中 进行 了 优化 。fast steaming 功能 包含 快速 开始 、 快 速 缓存 、 快 速 连接 和 快速 恢复 等 
功能 ， 从 用 户 体验 上 来 看 ， 当 播放 一 个 流 媒体 视频 ， 漫 长 的 等 待 时 间 和 断断续续 的 播放 质 
量 必然 使 观众 观看 视频 的 兴趣 大 减 ， 而 fast steaming 功能 使 观众 可 以 流畅 地 观看 流 媒 体 视 
频 ， 并 且 减 少 缓冲 等 待 的 时 间 。 

Windows Media Services 2008 支持 多 编码 率 视频 或 者 音频 , 可 以 动态 地 检测 用 户 带宽 ， 
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并 且 智 能 地 为 用 户 选择 不 同 编码 率 的 视频 音频 文件 ， 从 而 保证 流 媒体 文件 播放 的 速度 ， 增 
强 用 户 体验 。 


2. 更 多 的 并 发 连接 支持 


Windows Media Services 2008 通过 带宽 检测 、 智 能 选择 编码 率 以 及 fast steaming 等 功 
能 ， 大 大 提升 了 性 能 ， 从 而 相对 以 前 的 Windows Media Services 版 本 可 以 支持 更 多 的 并 发 
连接 数 。 在 相同 硬件 条 件 下 ，Windows Media Services 2008 每 服务 器 并 发 连接 用 户 数量 可 
以 达到 以 前 的 2 倍 。 


3. Serve Core 安装 模式 


从 Windows Server 2008 开始 , 管理 员 可 以 选择 安装 具有 特定 功能 , 但 不 包含 任何 不 必 
要 功能 的 Server Core 最 小 安装 模式 ， 它 为 一 些 特定 服务 的 正常 运行 提供 了 一 个 最 小 的 环 
境 , 从 而 减少 了 其 他 服务 和 管理 工具 可 能 造成 的 攻击 和 风险 . Windows Media Services 2008 
支持 在 Server Core 模式 进行 安装 ， 从 而 将 风险 和 资源 占用 减 到 最 低 。 


4. 集成 的 cache/proxy 功能 


Windows Media Services 2008 集成 缓存 /代理 功能 ， 也 是 为 了 提高 流 媒 体 播 放 速 度 和 质 
量 而 设计 。 举 个 例子 来 说 ， 比 如 在 企业 应 用 中 ， 可 以 通过 Windows Media Services 2008 来 
构架 一 台 流 媒体 服务 器 ， 用 来 发 布 企业 内 部 的 培训 视频 、 音 频 讲 座 等 。 如 果 同 时 访问 服务 
器 的 用 户 非常 多 ， 会 给 服务 器 造成 很 大 压力 ， 影 响 视频 的 播放 速度 。 这 时 候 可 以 利用 
Windows Media Services 2008 的 cache/proxy 功能 ， 在 本 地 构架 一 台 缓 存 服务 器 ， 将 播放 的 
内 容 进 行 缓存 ， 从 而 提高 流 媒体 的 播放 速度 。 

5. 集成 丰富 的 管理 工具 


Windows Media Services 2008 安装 成 功 后 , 在 Windows Server 2008 的 管理 工具 中 生成 
-个 控制 台 , 并 且 用 户 也 可 以 通过 Server Manager 工具 来 进行 管理 , 同时 , Windows Media 

Services 2008 和 IIS 紧密 结合 ， 支 持 远 程 管理 功能 。 

归结 起 来 ，Windows Media Services 2008 相对 以 前 的 版 本 具有 三 大 改进 : 

(1) 增强 的 流 媒 体 性 能 和 用 户 体验 。fast streaming 技术 ， 动 态 带宽 检测 ， 多 编码 率 支 
持 ， 支持 RTSP、HTTP、IGMPv3、IPv6 等 多 种 协议 ， 并 且 针 对 无 线 连接 进行 优化 。 

(2) 动态 内 容 编 辑 。 Windows Media Services 2008 中 还 有 一 个 非常 有 意思 的 功能 就 是 支 
持 动态 内 容 编辑 ， 可 以 在 播放 过 程 中 动态 调整 播放 的 内 容 ， 如 根据 不 同 的 用 户 群体 播放 不 
同 视频 内 容 、 插 播 广告 等 。 并 且 可 以 根据 不 同 用 户 的 带宽 选择 不 同 编码 率 ， 从 而 提高 播放 
速度 。 

(3) 业界 领先 的 媒体 平台 。Windows Media Services 2008 支持 二 次 开发 , 用 户 可 以 根据 
需求 自 定义 高 级 内 容 。 

和 以 前 版 本 的 Windows Server 系统 不 同 , Windows Server 2008 是 不 自 带 流 媒体 服务 器 
软件 的 ， 需 要 从 Microsoft 公司 网 站 上 下 载 相 应 的 升级 包 才 能 安装 。 步 骤 如 下 : 
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(1) 管理 员 打开 网 页 http://www.microsoft.com/downloads/zh-cn/details.aspx?FamilyID= 
9ccf6312-723b-4577-be58-7caab2elc5b7， 如 图 11-1 所 示 。 


此 下 载 的 文件 
eT 
文件 各 : 下 载 大 小 : 下 载 下 列 文件 
Windows6.0-KB934513-x654-Admin.msu 9.0 MB 
Vindorsd ofa045 .8x6+ Core ms at li es 
Vranass xeonts inset sener me, Da mm 
Windows6.0AB9345 配 -xy86-Adninimeu .MB mm 
Vndonss #00345 .3-05 Core-may sm | 
Windows6.0 -KB934513-x86 -Server.meu 197ME 
图 11-1 下 载 页 面 


(2) 网 页 中 共有 两 组 共 6 个 下 载 项 , 其 中 标注 有 X64 的 项 目 是 为 64 为 Windows Server 
2008 设计 的 ， 标 注 有 X86 的 项 目 是 为 32 位 Windows Server 2008 设计 的 ; 标注 有 Server 
的 项 目 就 是 需要 下 载 的 软件 包 , 标注 有 Core 的 项 目 适用 于 Core 模式 安装 的 Windows Server 
2008， 标 注 有 Admin 的 项 目 则 是 Windows Media Services 2008 的 管理 工具 ， 可 酌情 下 载 。 

本 书 使 用 的 是 32 位 的 Windows Media Services 2008， 因 此 下 载 的 项 目 是 Windows6.0- 
KB934518-x86-Server.msu。 

(3) 下 载 完成 后 ， 双 击 下 载 文件 即 可 开始 安装 ， 安 装 之 前 会 提示 需要 安装 更 新 ， 按 照 
提示 安装 即 可 。 安 装 界 面 如 图 11-2 所 示 。 

| 
5 


和 6 纺 0) | 入 可 0) | 。 取消 
图 11-2 ”安装 许可 界面 


(4) 单 击 “ 我 接受 ”按钮 ， 即 可 开始 自动 安装 。 安 装 完毕 后 ， 系 统 中 不 会 出 现任 何 变 
化 ， 此 时 需要 在 服务 器 管理 器 中 手动 添加 相应 的 角色 。 

(5) 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 打 开 服 务 器 管理 器 ， 选 
择 “ 操 作 ” 一 “刷新 ”命令 ， 然 后 选择 “操作 ”一 “添加 角色 ”命令 ,打开 “添加 角色 向 
导 ”， 如 图 11-3 所 示 。 
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图 11-3 “选择 服务 器 角色 ”界面 


(6) 在 向 导 中 选择 “ 流 媒体 服务 ”， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “ 流 媒体 服务 简介 ” 
界面 ， 再 单 击 “ 下 一 步 ”按钮 ， 选 择 为 流 媒体 服务 安装 的 角色 服务 ， 如 图 11-4 所 示 。 


添加 角色 向 导 到 | 
各 进 反 用 色 服务 
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扫 吕 记 色 朋友 肝 秀 g0 a 
流 澡 体 服务 Windews 媒体 闫 闫 二 说 Mindows Bm 
rg 口 BS 全 
ey 服务 器 QI5) 
PT 
区 人 
Mt 
条 时 
i 
< 上 -0) 安 半 0) 了 消 


11-4 “选择 角色 服务 ”界面 


(7) 采用 默认 设置 即 可 ， 如 果 需 要 通过 网 页 进行 流 媒 体 服务 器 的 管理 ， 可 以 选中 “ 基 
于 Web 的 管理 ”， 但 需要 安装 IS 的 重 定向 组 件 。 选 择 完毕 后 ， 单 击 “ 下 一 步 ”按钮 ， 进 
入 “选择 数据 传输 协议 ”界面 ， 选 择 传输 流 媒 体 数据 时 使 用 的 协议 ， 默 认 采 用 RTSP 协议 ， 
也 可 采用 HTTP 协议 ， 但 是 如 果 同 一 个 服务 器 上 安装 了 IS 和 流 媒 体 服务 两 种 服务 ，HITTP 
协议 不 可 选 ， 因 为 IS 已 经 占用 了 HTTP 的 80 端口 。 如 图 11-5 所 示 。 
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至 少 选 掺 一 个 用 于 流 壹 字 媒 体内 容 的 者 据 传 输 者 议 。 
订 天 扩 入 议 5) 3 到 
es ree hr ， Fol RE ind ods Serviees 


厂 起 六 直入 输 侨 芭 O02F) DT 
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加 元 法 让 Err 演 , 因为 lnternet 信息 驱 务 CIS) 正 在 使 用 端口 5 进行 ITTF 注 接 。 有 关 支 
闫 完成 之 后 解 实 此 弯 口 中 生 的 详细 信息 ， 请 条 沿 在 相 辐 寺 芝 机 上 让 用 亚 TF 沪 和 其他 独 务 * 


< 上 -0) E23 取消 
图 11-5 “选择 数据 传输 协议 ”界面 


(8) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “Web 服务 器 简介 ”界面 ， 再 单 击 “ 下 一 步 ”按钮 ， 
进入 IIS 服务 器 “选择 角色 服务 ”界面 ， 如 图 11-6 所 示 。 


ETTETB 加 | 
松 选择 角色 服务 

开拍 之 卫 直至 为 Yoh 服务 加 55) 灾 半 38 多 服务 

Lad 衣 双 所 从 Qe); ME: 


图 11-6 IIS 服务 器 “选择 角色 服务 ”界面 


(9) 如 果 不 需要 添加 服务 角色 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “确认 ”界面 ， 如 果 还 有 
需要 修改 的 设置 ， 单 击 “ 上 一 步 ” 按 钮 返回 ， 否 则 ， 单 击 “ 安 装 ” 按 钮 ， 根 据 提示 完成 安 
装 即 可 。 

安装 好 流 媒体 服务 器 后 ， 在 配置 过 程 中 会 需要 在 当前 服务 器 上 测试 流 媒体 服务 ， 这 就 
需要 在 Windows Server 2008 上 安装 Windows Media Player。 操 作 步 骤 如 下 : 

(1) 打开 服务 器 管理 器 ， 依 次 选择 “工具 ”一 “添加 功能 ”命令 ， 打 开 添 加 功能 向 导 ， 
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选中 “桌面 体验 ” 复 选 框 ， 如 图 11-7 所 示 。 
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图 11-7 “选择 功能 ”界面 
(2) 单 击 “ 下 一 步 ”按钮 ， 进 入 “确认 安装 ”界面 ， 如 果 还 需要 安装 其 他 功能 ， 可 单 
击 “ 上 一 步 ”按钮 返回 以 便 更 改 ， 如 果 不 需要 更 改 安装 设置 ， 则 单 击 “ 安 装 ” 按 钮 开始 安 
装 ， 如 图 11-8 所 示 。 


天 正在 训 下 毅 包 ， 骨 名 及 务 或 了 
和 ET 
的 时 
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11-8 “安装 进度 ”界面 


(3) 安装 完毕 后 ， 打 开 “ 安 装 结果 ”界面 ， 如 图 11-9 所 示 。 单 击 “ 关 闭 ” 按 钮 ， 然 后 
重启 服务 器 即 可 自动 完成 安装 。 
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图 11-9 “安装 结果 ”界面 


11.2 实现 点 播 和 广播 


安装 好 流 媒体 服务 组 件 后 ， 就 可 以 着 手 准备 搭建 流 媒 体 站 点 了 。 首 先 要 准备 的 就 是 流 
媒体 文件 ， 即 支持 流 媒体 协议 的 多 媒体 文件 。Windows Media Services 2008 支持 的 标准 文 
件 格式 为 .asf、.wma、.wmv， 即 使 当前 没有 这 类 文件 ， 也 可 以 使 用 Windows Media 编码 器 ， 


将 文件 扩展 名 为 .wma、.wmv、.asf、.avi、.wav、.mpg、.mp3、.bmp 和 .jpg 等 多 媒体 文件 转 
换 成 为 Windows Media 服务 使 用 的 流 文件 。 


11.2.1 ”实现 视频 和 音频 点 播 
准备 好 实施 点 播 的 音 视频 文件 后 ， 就 可 以 创建 点 播 站 点 了 。 


(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “Windows Media 服务 ”命令 , 打开 “Windows 
Media 服务 ”窗口 ， 如 图 11-10 所 示 。 
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图 11-10 “Windows Media 服务 ”窗口 
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(2) 展开 窗口 左 侧 的 目录 树 ， 右 击 “ 发 布点 ”， 从 弹出 的 快捷 菜单 中 选择 “添加 发 布 
点 (向 导 )” 命 令 ， 打 开 “ 添 加 发 布点 向 导 ” 对 话 框 ， 如 图 11-11 所 示 。 


区 迎 使 用 “添加 发 布点 向 导 ” 
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图 11-11 “添加 发 布点 向 导 ” 对 话 框 的 欢迎 界面 


(3) 单 击 “ 下 一 步 ” 按 钮 ,进入 “发 布点 名 称 ”设置 界面 , 输入 发 布点 名 称 ， 如 图 11-12 
所 示 。 
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图 11-12 “发 布点 名 称 ”界面 


(4) 单 击 “ 下 一 步 ”按钮 ， 进 入 “内 容 类 型 ” 界面， 选择 发 布 内 容 的 类 型 ， 如 图 11-13 
所 示 。 


yl 
和 内容 类 型 
标 闪 要 传 名 的 内 容 的 类 型 。 
选择 以 下 选项 之 一 。 
个 编 B8 器 医 风 向 中 
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图 11-13 “内 容 类 型 ”选择 界面 
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本 窗口 一 共有 以 下 4 个 选项 。 

e 编码 器 : 允许 服务 器 连接 到 一 台 编码 计算 机 , 并 发 布 由 该 计算 机 编码 的 音 视频 文件 ; 

e 播放 列表 : 将 一 组 音频 和 视频 文件 的 存储 位 置信 息 集合 起 来 ， 生 成 一 个 播放 列表 ， 
站 点 可 以 调用 该 播放 列表 ， 从 而 播放 多 个 文件 ; 

e 一 个 文件 : 站 点 只 发 布 一 个 音 视频 文件 ; 

e 目录 中 的 文件 : 发 布 一 个 目录 中 的 所 有 音 视频 文件 及 播放 列表 所 指向 的 多 媒体 
文件 。 

(5) 选中 “目录 中 的 文件 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 进 入 “发 布点 类 型 ” 

界面 ， 如 图 11-14 所 示 ; 


划 
发 布点 类 型 
发 布点 根据 您 要 创建 的 播放 方案 组 织 和 分 发 内 容 。 


"a 


事 “ 角 i 


ism[EEm] mW | ww | 


图 11-14 “发 布点 类 型 ” 界面 


(6) 选中 “点 播发 布点 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “目录 位 置 ”界面 ， 
如 图 11-15 所 示 。 


和 eb (多 许 客户 油 访 问 该 目录 及 其 子 目录 


提示 


Ee 


客户 演 可 以 在 VEL 中 使 用 通配符 未 访问 目录 下 的 任何 文件 


< 上- 步 oj| 下 - 步 m 放  B 消 | 者 助 | 


图 11-15 “目录 位 置 ”界面 


(7) 设置 好 放置 要 发 布 的 音 视频 文件 所 在 的 路 径 后 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “内 
容 播 放 ” 界 面 ， 如 图 11-16 所 示 。 
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朋 , 添 加 发 布点 向 导 1 车 


内 容 医 放 
您 可 以 控制 您 的 目录 或 播放 列表 中 内 容 的 医 放 顺序 。 


您 可 以 循环 播放 、 无 序 播放 或 无 序 德 环 播放 您 的 内 容 。 
请 护 播放 连续 播放 内 容 ) 0) 
厂 无 序 播放 随机 播放 内 容 ) G) 


E 阁 六 要 开 下 转换 插 件 中 的 设置 器 在 发 布点 的 “ 属 


|| 


图 11-16 “内 容 播放 ”界面 
(8) 选中 “循环 播放 (连续 播放 内 容 )” 复 选 框 ， 如 果 想 随机 播放 文件 ， 可 以 选中 “无 序 
播放 (连续 播放 内 容 )” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “ 单 播 日 志 记 录 ” 界 面 ， 如 图 
11-17 所 示 。 


单 播 日 志 记 录 
ee 了 服 芳 襄 89 日 志 记录 功 胰 ， 风 不 必 局 用 发 布点 的 日 志 记 录 功 


是 否 要 记录 有 关 纵 单 所 演 方 式 接收 内 容 的 襄 卢 并 的 雪 所 7 
厂 是 ， 县 用 谱 发 布点 的 日 志 忆 录 0Y) 


提示 
vn | 


vo [TBm7] mh | ww 


图 11-17 “ 单 播 日 志 记 录 ” 界 面 


(9) 不 做 选择 ， 则 服务 器 不 会 记录 客户 端的 相关 数据 ， 单 击 “ 下 一 步 ” 按钮 ， 进 入 “发 
布点 摘要 ”界面 ， 如 图 11-18 所 示 。 


T 四 
如 名 称 edisl 

类 型 点 播 
建 内 容 位 置 D: edin services 

使 用 通配符 访问 目录 内 容 : 已 大 用 

ms 容 户 尖 昌 二 i 大 用 


‘上 mm | | 
图 11-18 “发 布点 摘要 ”界面 
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(10) 如 果 有 需要 修改 的 部 分 ， 单 击 “ 上 一 步 ” 按 钮 返回 并 修改 ， 如 果 没 有 需要 修改 的 
部 分 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 完成 界面 ， 如 图 11-19 所 示 。 


es SERVER 


RS) 
6 人 文 卫 [ser 或 朵 Lhtn] 
8 外 半 拓 计 (= 


c 
更 半 成 此 右 导 ,请 间 “天 或" 。 


Eso Ww |_w | 
图 11-19 向 导 完成 界面 


(11) 选中 “完成 向 导 后 ”和 “创建 公告 文件 或 网 页 ”， 单 击 “ 完 成 ”按钮 ， 进 入 “ 单 
播 公告 向 导 ” 界 面 ， 如 图 11-20 所 示 。 


欢迎 使 用 “ 单 描 公 告 向 导 ” 


也 天 有 人 
i a 
| 


后 


三 HaR 
年 击 “下 一 步 "。 


| ww | 


11-20 “ 单 播 公告 向 导 ” 欢 迎 界面 


(12) 单 击 “ 下 一 步 ”按钮 ， 进 入 “点 播 目 录 ” 界 面 ， 如 图 11-21 所 示 。 
[E25 一 


点 播 昌 对 
可 以 公告 与 庆 发 布点 相关 联 的 中 录 中 的 一 个 文件 或 所 有 文件 。 


您 要 公告 什么 网 理 ? 


人 目录 中 的 一 个 文件 7) 
wenis service 和 三 W 交 加 [到 放 


© ERR 


《上 =- 步 m)| 下 一 步 m >| 职 消 帮助 
图 11-21 “点 播 目录 ”界面 


(13) 选择 要 公告 的 文件 , 如果 要 公告 所 有 文件 , 则 需要 在 第 (6) 步 中 允许 使 用 通配符 访 
问 站 点 文件 ， 或 先 配置 站 点 属性 后 再 发 布 公告 。 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “访问 该 内 容 ” 
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界面 ， 如 图 11-22 所 示 。 


访问 该 内 容 是 
i mas me NE 


如 果 双 要 ， 请 更 风 铁 务 矢 名 称 


搓 各 内 容 的 weL on 
ET 他 必 加 


提示 
| 5 而 zawrs edi a 了 1aysr 能 及 生动 份 丙 用 于 这 拉 的 最 
人 We 


| | 


图 11-22 “访问 该 内 容 ” 界 面 


(14) 该 窗口 指定 了 用 户 可 以 在 网 络 上 访问 发 布 的 文件 的 URL, 如 需 更 改 则 单 击 “ 修改” 
按钮 ， 更 改 URL， 如 不 需要 更 改 则 单 击 “ 下 一 步 ”按钮 ， 进 入 “保存 公告 选项 ”界面 ， 如 
图 11-23 所 示 。 


厂 将 在 网 页 中 嵌入 播放 机 的 滞 法 复制 到 净 贴 板 C) 


《上 - 步 @) | 下-- 步 ) > 怠 消 都 助 


图 11-23 “保存 公告 选项 ”界面 


(15) 设置 保存 的 公告 文件 名 和 存储 位 置 后 ， 同 时 选中 “创建 一 个 带 有 媒 入 的 播放 机 和 
指向 该 内 容 的 链接 的 网 页 ”， 设 置 保存 的 文件 名 称 及 路 径 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “ 编 
辑 公告 元 数据 ”界面 ， 如 图 11-24 所 示 。 


提示 
| ee 可 以 选 笃 是 否 | 


mn | ww | 
图 11-24 “编辑 公告 元 数据 ”界面 
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(16) 设置 元 数据 内 容 ， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 完成 界面 ， 如 图 11-25 所 示 。 
| 


正在 完成 “ 单 播 公告 向 导 ” 


习 入 忆 为 布点 geal 磺 功 凶 计 了 一 个 公告。 
单 击 “ 完 成 ”后 村 好 于 以 下 文件 。 


克 许 须 可 皇后 册 式 文件 Ge。 
要 完成 此 向 导 ， 单 击 “ 完 成 ”。 


<tsm[ RR] wi | ww | 
图 11-25 向导 完成 界面 


(17) 选中 “完成 此 向 导 后 测试 文件 ” 复 选 框 ， 单 击 “ 完 成 ”按钮 ， 完 成 配置 并 开始 测 
试 ， 如 图 11-26 所 示 。 单 击 “ 测 试 ” 按 钮 ， 可 测试 相应 的 项 目 。 


四 
加 省 二! 项 
王公 告 
到 请 有 小 入 的 烽 放 机 3 0 MS) 


要 使 列 试 正常 进行 ， 您 在 此 计算 机 上 必须 安装 有 Windows Nedis Player。 
四 


退出 %) 导 助 


图 11-26 “测试 单 播 公告 ”界面 


(18) 进行 “测试 公告 ” 时, 会 打开 媒体 播放 器 Windows Media Player 或 兼容 的 播放 器 ， 
所 以 如 果 没 有 安装 播放 器 将 无 法 测试 ， 进 行 “测试 带 有 嵌入 的 播放 机 的 网 页 ”时 ， 最 好 使 
用 Microsoft 公司 的 正 浏览 器 ， 而 且 使 用 正 浏览 器 时 可 能 会 弹出 信息 ， 提 示 用 户 正 已 经 
自动 限制 了 一 些 脚 本 和 控件 的 运行 , 需 设置 浏览 器 允许 运行 这 些 被 阻止 的 内 容 。 测试 通过 ， 
则 说 明 流 媒体 站 点 创建 成 功 ， 可 以 使 用 。 


11.2.2 ”实现 视频 和 音频 广播 
如 果 采 用 向 导 设置 广播 站 点 ， 基 本 流程 和 创建 点 播 站 点 相似 ， 仅 仅 在 设置 “发 布点 类 


型 ”时 选择 “广播 发 布点 ”以 及 设置 传递 数据 的 方式 为 单 播 或 多 播 ， 其 他 部 分 没有 区 别 ， 
这 里 不 再 袭 述 。 下 面 学 习 一 种 新 的 创建 方式 。 
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(1) 打开 “Windows Media 服务 ”窗口 ， 右 击 “ 发 布点 ”， 在 弹出 的 快捷 菜单 中 选择 
“添加 发 布点 (高 级 )” 命 令 ， 打 开 “ 添 加 发 布点 ”对 话 框 ， 如 图 11-27 所 示 。 


图 11-27 “添加 发 布点 ”对 话 框 


(2) 将 “发 布 类 型 ”设置 为 “广播 ”， 设 置 发 布点 名 称 为 Media2， 选 择 合适 的 内 容 类 
型 以 及 内 容 位 置 。 单 击 “ 确 定 ”按钮 ， 完 成 基本 配置 。 此 时 “Windows Media 服务 ”对 话 
框 中 已 经 显示 新 建站 点 的 相关 信息 了 ， 如 图 11-28 所 示 。 
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11-28 “发 布 站 点 ”管理 界面 


G) “监视 ”选项 卡 显示 了 当前 站 点 的 运行 状态 ， 最 下 方 的 按钮 可 以 控制 当前 站 点 ， 
依次 是 “启动 发 布点 ”按钮 、“ 停 止 发 布点 ”按钮 、“ 人 允许 新 的 单 播 连接 ”按钮 、“ 拒 绝 
新 的 单 播 连接 ”按钮 、“ 断 开 所 有 客户 端 连接 ”按钮 、“ 重 置 所 有 计数 器 ”按钮 、“ 查 看 
性 能 监视 器 ”按钮 和 “帮助 ”按钮 。 
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(4) 打开 “ 源 ” 选 项 卡 ， 单 击 其 中 的 “更 改 ”按钮 ， 即 可 更 改 发 布 内 容 ， 但 更 改 前 必 
须 关 闭 当前 站 点 ， 如 图 11-29 所 示 。 


11-29 “ 源 ” 选 项 卡 


(5) “公告 ”选项 卡 用 于 设置 单 播 流 和 多 播 流 的 公告 ， 如 图 11-30 所 示 ， 可 以 通过 相 
应 的 向 导 来 创建 公告 。 
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11-30 “公告 ”选项 卡 


(6) 打开 “属性 ”选项 卡 ， 如 图 11-31 所 示 。 
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司 忆 XX 2Qa 


图 11-31 “属性 ”选项 卡 


(7) 在 “属性 ”选项 卡 中 可 以 设置 更 多 内 容 ， 一 般 来 说 ， 如 果 没 有 特殊 情况 ， 保 持 默 
认 设 置 即 可 。 


11.2.3 ”制作 播放 列表 


简单 来 说 ， 播 放 列 表 就 是 一 个 文件 ， 其 中 存储 了 某 个 媒体 文件 的 存储 位 置 。 当 服务 器 
或 者 播放 器 打开 播放 列表 时 就 会 根据 其 中 的 记录 找到 相应 的 媒体 文件 并 播放 。 这 种 模式 下 ， 
只 要 有 一 个 播放 列表 ， 就 可 以 将 多 个 媒体 文件 组 织 在 一 起 ， 即 使 它们 不 在 同一 目录 下 ， 也 
可 以 很 方便 的 调用 。 制 作 播放 列表 的 步骤 如 下 : 

(1) 打开 “Windows Media 服务 ”窗口 ， 选 择 “ 发 布点 ”节点 ， 在 右 侧 窗口 中 选择 “ 察 
看 播放 列表 编辑 器 ”， 即 如 图 11-32 所 示 中 方 框 标 出 的 按钮 。 


11-32 “发 布点 ”管理 界面 
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(2) 单 击 该 按钮 后 ， 打 开 Windows Media 播放 列表 编辑 器 ， 如 图 11-33 所 示 。 


图 11-33 “播放 列表 编辑 器 ”界面 


(3) Windows Media 播放 列表 是 使 用 XML 语言 描述 的 , 在 编辑 器 中 罗列 了 常用 的 XML 
元 素 ， 这 些 元 素 如 下 。 

e smil: smil 是 同步 多 媒体 集成 语言 的 建成 ， 表 示 播 放 列 表 的 根 元 素 ; 
begin: 制定 smil 元 素 何 时 启用 ， 用 时 间 值 表示 ， 单 位 是 秒 ; 
dur: 指定 元 素 的 持续 时 间 ; 
end: 制定 smil 元 素 何 时 禁用 ， 即 变 为 未 激活 元 素 ; 
syncEvent: 制定 一 个 字符 串 ， 用 于 触发 包装 播放 列表 中 某 个 元 素 的 开始 或 结束 ; 
id: 为 smil 元 素 指定 一 个 名 称 ， 供 其 他 元 素 或 播放 列表 引用 ; 
repeatCount: 指定 播放 列表 在 停止 前 重复 播放 的 次 数 ; 

e repeatDur: 指定 播放 列表 在 停止 之 前 重复 播放 的 时 间 长 度 。 

如 果 对 这 些 元 素 的 作用 不 清楚 ， 可 以 不 作 设置 ， 或 者 使 用 向 导 创 建 流 媒体 站 点 ， 不 需 
要 对 这 些 元 素 加 以 修改 。 

(4) 在 “smil” 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “添加 媒体 ”命令 ， 打 开 “ 添 加 媒体 
元 素 ”对 话 框 ， 如 图 11-34 所 示 。 


要 rver Ps 
本 档 号 下 蕊 下 细 到 失 生 这 所 人 时 中 必 
于 村 引 录 (和 于 目录 ) 中 国友 件 包括 在 揪 放 列 


职 ET 帮助 o0 
图 11-34 “添加 媒体 元 素 ”对 话 框 


(5) 在 对 话 框 中 指定 媒体 元 素 的 类 型 和 媒体 文件 的 路 径 ， 单 击 “ 确 定 ” 按 钮 ， 返 回 播 
放 列 表 编辑 器 ， 如 图 11-35 所 示 。 


“318 Windows Server 2008 系统 管理 


5 sl 
Sis scrr k rm rm ro rom Imve we 
EE zLapk we 


国生 
屋 三 #5 北京 次 泛 作 >W my 
图 11-35 “播放 列表 编辑 器 ”界面 


(6) 依次 选择 “文件 ”一 “保存 ”命令 ， 打 开 “ 另 存 为 ”对 话 框 ， 如 图 11-36 所 示 。 


图 11-36 “另存 为 ”对 话 框 


(7) 设置 播放 列表 的 文件 名 和 存储 路 径 后 ， 单 击 “ 保 存 ” 按 钮 ， 关 闭 Windows Media 
播放 列表 编辑 器 ， 完 成 播放 列表 的 创建 。 


11.2.4 发 布 广告 


报纸 、 无 线 电 广播 和 电视 行业 都 能 够 产生 收益 并 以 低 成 本 为 公众 提供 信息 服务 ， 因 为 
它们 能 够 找到 支付 费用 以 发 布 产 品 广告 的 赞助 商 。 因 特 网 也 包含 了 这 种 商务 模式 ， 大 多 数 
网 站 也 都 包含 有 某 种 形式 的 广告 。 提 供 信息 服务 的 网 站 通过 广告 销售 为 其 运作 提供 资金 ， 

- 些 公 司 和 电子 商务 站 点 也 可 通过 广告 为 自己 的 品牌 进行 市 场 宣传 。 
Windows Media Services 通过 以 下 几 种 方式 为 广告 提供 支持 。 
e 播放 列表 : 也 称 为 间隙 广告 , 播放 列表 为 在 广播 期 间 播放 插播 式 广告 提供 了 一 种 简 
易 方 法 。 动态 播放 列表 可 以 响应 客户 端的 用 户 配置 文件 ， 以 便 根据 人 数 统计 信息 有 
目的 地 发 布 广告 。 

e 包装 : 包装 可 用 来 在 客户 端 请 求 的 内 容 开 始 和 结束 时 提供 一 组 广告 。 包装 通常 用 来 

实现 跟 片 广告 或 引入 /引出 广告 。 

e 报告 : 详细 的 日 志文 件 和 实时 性 能 计数 器 提供 了 一 种 监视 网 站 活动 与 评估 观众 的 方 

法 。 反 映 点 击 次 数 、 播 放 次 数 和 客户 端 收看 广告 的 时 间 长 度 的 计数 器 可 供用 户 在 计 
费 与 生成 报告 时 使 用 。 

在 设置 广告 之 前 ， 先 准备 好 作为 广告 素材 的 视频 文件 或 者 图 片 文件 ， 本 例 中 准备 3 张 

jpg 图 片 作为 广告 素材 。 
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如 果 想 在 用 户 点 播 影片 的 过 程 中 插播 广告 ， 可 以 在 播放 列表 中 添加 广告 ， 步 骤 如 下 : 
(D 打开 “Windows Media 服务 ”对 话 框 ， 定 位 到 一 个 “发 布点 ”， 单 击 打开 “ 源 ” 
选项 卡 ， 如 图 11-37 所 示 。 


DaoOSOa 


图 11-37 “ 源 ” 选 项 卡 


(2) 单 击 下 方 的 “查看 播放 列表 编辑 器 ”按钮 ， 打 开 “ 播 放 列表 ”对 话 框 ， 如 图 11-38 
所 示 ， 选 中 “打开 现 有 播放 列表 ” 单 选 按 钮 ， 浏 览 选择 前 面 保存 的 播放 列表 文件 。 


[Es 一 


文件 名 0 


TTT 


图 11-38 “播放 列表 ”对 话 框 


(3) 单 击 “ 确 定 ”按钮 ， 打 开 “Windows Media 播放 列表 编辑 器 ”， 如 图 11-39 所 示 。 


ET 
自 国 mi 
is Gve ALITLE Te TD OUE Le me 
i a 


IEFHESTRAN. ms 
一 图 芋 旺 《北京 农 部 你 yy wy 


11-39 Windows Media 播放 列表 编辑 器 
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(4) 右 击 “smil” 节 点 , 在 弹出 的 快捷 菜单 中 选择 “添加 广告 ”命令 , 打开 “添加 广告 ” 
对 话 框 ， 在 文本 框 中 输入 要 添加 的 广告 文件 的 路 径 ， 如 图 11-40 所 示 。 
四 


添加 广告 
标识 广告 的 位 置 。 


11-40 “添加 广告 ”对 话 框 


(5) 单 击 “ 确 定 ”按钮 ， 返 回 “Windows Media 播放 列表 编辑 器 ”， 然 后 将 添加 的 广 
告 移 至 列表 头 部 ， 如 图 11-41 所 示 。 
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图 11-41 媒体 播放 顺序 播放 界面 


(6) 至 此 ， 添 加 广告 的 基本 设置 已 经 完成 。 还 可 以 通过 在 右 侧 窗 口中 调整 广告 文件 的 
属性 ， 以 实现 更 高 级 的 功能 ， 如 将 广告 文件 的 “no Skip” 属 性 值 设 置 为 “TRUE”， 则 播 
放 到 此 媒体 时 , 不 允许 跳 过 。 当 终端 用 户 播放 到 此 元 素 时 , 播放 器 软件 上 的 “前 进 ”、“ 后 
退 ”、“ 下 一 个 ”等 控制 按键 将 不 起 作用 。 

(7) 重复 以 上 步骤 ， 可 以 添加 多 个 广告 并 调整 其 播放 次 序 。 设 置 完毕 后 ， 保 存 并 退出 
即 可 。 将 来 使 用 该 播放 列表 的 流 媒体 站 点 就 可 以 播放 广告 了 。 

还 可 以 在 Windows Media Services 2008 中 使 用 包装 广告 ， 当 用 户 首次 连接 到 服务 器 或 
内 容 流 结束 时 , 可 以 使 用 包装 来 提供 广告 或 其 他 内 容 。 在 为 内 容 指 定 一 个 包装 时 ，Windows 
Media Services 2008 将 把 该 内 容 作 为 包装 播放 列表 的 一 部 分 包含 在 其 中 。 通 过 使 用 包装 播 
放 列 表 ， 可 以 将 所 选 的 序幕 内 容 和 结尾 内 容 作为 播放 列表 项 目 插入 到 主 内 容 前 后 。 

除 广告 外 ， 常 作为 包装 播放 的 内 容 还 有 由 Active Server Page(ASP) 生 成 的 动态 播放 列 
表 、 站 点 商标 以 及 赞助 商标 识 。 例 如 ,假设 单 播客 户 端 连接 到 已 指定 了 包装 广告 的 实况 流 ， 
那么 它 只 有 在 播放 完 包装 播放 列表 中 指定 的 所 有 内 容 后 才能 播放 实况 内 容 。 

使 用 包装 广告 的 具体 操作 步骤 如 下 : 

(1) 在 “Windows Media 服务 ”窗口 中 ， 定 位 到 一 个 发 布点 ， 打 开 “ 广 告 ” 选 项 卡 ， 
如 图 11-42 所 示 。 
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图 11-42 “广告 ”选项 卡 


(2) 单 击 下 方 的 “包装 编辑 器 ”按钮 ， 打 开 “ 包 装 播放 列表 编辑 器 选项 ”对 话 框 ， 取 
消 “ 使 用 “创建 包装 向 导 ”” 复 选 框 ， 如 图 11-43 所 示 。 
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图 11-43 “包装 播放 列表 编辑 器 选项 ”对 话 框 
(3) 单 击 “确定 ”按钮 ， 打 开 “Windows Media 播放 列表 编辑 器 ”， 如 图 11-44 所 示 。 


图 11-44 “Windows Media 播放 列表 编辑 器 ”界面 
(4) 在 “smil” 节 点 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “添加 广告 ”命令 , 打开 “添加 
广告 ”对 话 框 ， 在 其 中 的 文本 框 中 输入 广告 文件 的 路 径 ， 如 图 11-45 所 示 。 
四 
添加 广告 
标识 广告 的 位 置 。 
机 和 ， 可 能 二 要 联系 丰 的 广告 合作 伙 伞 
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11-45 “添加 广告 ”对 话 框 
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(5) 单 击 “ 确 定 ”按钮 ， 返 回 播放 列表 编辑 器 ， 将 广告 在 列表 中 移动 到 最 前 面 ， 然 后 
保存 播放 列表 至 广告 文件 所 在 文件 夹 ， 返 回 发 布点 的 “广告 ”选项 卡 ， 单 击 “ 更 改 ” 按钮 ， 
引用 刚 创建 好 的 播放 列表 ， 如 图 11-46 所 示 。 
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图 11-46 “广告 ”选项 卡 
(6) 至 此 ， 包 装 广告 添加 完毕 。 
如 果 启用 “属性 ”选项 卡 中 的 “日 志 记 录 ” 功 能 ， 就 可 通过 日 志 跟 踪 广 告发 布 的 效 
果 了 。 


11.2.5 ”对 点 播发 布点 的 访问 


打开 发 布点 的 “公告 ”选项 卡 ， 如 图 11-47 所 示 。 
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单 击 “ 运 行 单 播 公告 向 导 ” 和 “运行 多 播 公告 向 导 ” 按 钮 ， 可 以 使 用 向 导 分 别 创建 公 
告 和 包含 视频 插件 网 页 ， 创 建 完毕 后 ， 可 以 使 用 “公告 ”选项 卡 中 提示 的 地 址 (mms 开头 
的 地 址 ) 使 用 播放 器 直接 访问 站 点 ， 也 可 以 利用 向 导 生 成 的 网 页 ， 将 视频 在 网 页 上 播放 。 


11.3 ”本章 小 结 


本 章 介 绍 了 在 Windows Server 2008 服务 器 上 安装 和 使 用 流 媒体 服务 的 基本 方法 。 
Windows Media 流 媒体 技术 不 仅 可 以 实现 视频 和 音频 的 网 络 播放 ， 还 可 以 由 管理 员 控 制 播 
放 模 式 ， 添 加 广告 等 。 用 户 则 可 以 利用 播放 器 或 网 页 来 访问 这 些 流 媒体 信息 。 

(1) 流 媒体 服务 的 安装 : 本 节 介绍 了 Windows Server 2008 下 安装 流 媒体 服务 的 基本 方 
法 ， 通 过 学 习 ， 学 生 可 以 掌握 从 微软 网 站 下 载 流 媒体 服务 组 件 并 进行 安装 的 基本 步骤 ， 能 
够 正确 区 分 点 播 和 广播 ， 并 能 够 根据 网 络 环境 选择 合适 的 模式 。 

(2) 实现 点 播 和 广播 : 本 节 介绍 了 流 媒 体 服务 器 的 设置 方法 ， 通 过 学 习 ， 学 生 可 以 掌 
握 实现 各 种 播放 方式 的 基本 方法 ， 并 可 以 在 视频 中 设置 广告 ， 以 及 访问 流 媒 体 的 方法 。 


11.4 思考 与 练习 


【思考 题 】 
1. 常见 流 媒体 技术 和 流 媒体 传输 协议 有 哪些 ? 
2. 点 播 和 广播 的 区 别 是 什么 ? 
3. Windows Media Services 2008 具有 哪些 功能 ? 


【练习 题 】 

1. 如 何在 Windows Server 2008 上 安装 流 媒 体 服务 器 组 件 ? 
2. 如 何在 流 媒体 中 播放 广告 ? 

3. 怎样 制作 播放 列表 ? 

4. 如 何 访问 流 媒体 服务 器 上 的 视频 或 音频 ? 


【本 章 导 读 】 

在 局 域 网 规模 相对 较 大 的 工作 环境 中 ， 如 果 客 户 端 工作 站 安装 了 不 同 的 操作 系统 ， 分 
别 在 这 些 系统 环境 中 安装 部 署 相同 版 本 的 应 用 程序 时 ， 工 作 量 无 疑 是 十 分 巨大 的 。 为 了 有 
效 提高 网 络 管理 效率 ， 可 以 利用 终端 服务 来 解决 应 用 程序 集中 部 署 的 难题 ， 终 端 服务 是 在 
Windows NT 中 首先 引入 的 一 个 服务 。 终端 服务 使 用 RDP 协议 (远程 桌面 协议 ) 客 户 端 连接 ， 
使 用 终端 服务 的 客户 可 以 在 远程 以 图 形 界 面 的 方式 访问 服务 器 ， 并 且 可 以 调用 服务 器 中 的 
应 用 程序 、 组 件 、 服 务 等 ， 和 操作 本 机 系统 一 样 。 这 样 的 访问 方式 不 仅 大 大 方便 了 各 类 用 
户 ， 还 有 效 地 节约 了 成 本 


12.1 部 署 终端 服务 器 


12.1.1 终端 服务 概述 


局 域 网 工作 站 需要 使 用 的 应 用 程序 只 要 集中 在 终端 服务 器 中 安装 、 部 署 一 次 ， 无 论 工 
作 站 使 用 了 什么 类 型 的 操作 系统 ， 都 能 通过 远程 终端 访问 实现 使 用 应 用 程序 的 目的 。 伴 随 
着 Windows Server 2008 系统 的 面世 ， 系 统 终端 服务 功能 也 明显 得 到 了 强化 。 

借助 终端 服务 ， 网 络 管理 员 根 本 不 需要 在 局 域 网 中 的 每 一 台 工 作 站 中 安装 和 维护 同样 
的 应 用 程序 ， 如 果 客 户 端 用 户 需 要 集中 使 用 某 一 个 应 用 程序 ， 网 络 管理 员 只 要 将 该 应 用 程 
序 集中 在 终端 服务 器 中 安装 部 署 一 次 就 可 以 了 ， 客 户 端 用 户 到 时 只 要 通过 终端 服务 就 能 在 
本 地 系统 运行 应 用 程序 了 ; 借助 终端 服务 ， 客 户 端 用 户 能 够 非常 方便 地 使 用 终端 服务 器 中 
的 各 种 共享 资源 ， 而 不 需要 额外 增加 使 用 成 本 ， 从 而 有 效 地 节约 了 办 公 成 本 ; 借助 终端 服 
务 ， 单 位 不 需要 耗费 大 量 的 财力 、 物 力 在 局 域 网 中 的 所 有 客户 端 工作 站 中 安装 部 署 单位 的 
业务 程序 ， 而 只 需要 一 次 性 地 在 终端 服务 器 中 安装 部 署 就 可 以 了 ， 这 样 就 能 够 简化 局 域 网 
管理 维护 工作 量 ， 减 少 网 络 维护 成 本 以 及 降低 复杂 程度 。 终 端 服务 的 目的 是 为 了 实现 集中 
化 应 用 程序 的 访问 。 终 端 服务 主要 应 用 于 以 下 几 种 环境 中 。 

(1) 应 用 程序 集中 部 署 : 在 客户 端 /服务 器 网 络 体系 中 ， 如 果 客 户 端 需要 使 用 相同 的 应 
用 程序 ， 比 如 要 使 用 相同 版 本 的 邮件 客户 端 、 办 公 软 件 等 ， 而 客户 端 部 署 的 操作 系统 又 不 
尽 相 同 ， 如 Windows 2000、Windows XP、Windows Vista 等 ， 这 时 候 如 果 网 络 规模 很 大 ， 
分 别 向 这 些 客户 端 部 署 相同 版 本 的 应 用 软件 是 件 让 管理 员 非 常 头痛 的 事情 ， 需 要 大 量 重复 
的 工作 ， 而 且 需 要 考虑 软件 版 本 的 兼容 性 问题 。 这 时 候 如 果 采 用 终端 服务 则 可 以 很 好 地 解 
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决 这 个 问题 ， 客 户 端 需要 使 用 的 应 用 软件 只 需 在 终端 服务 器 上 部 署 一 次 ， 无 论 客户 端 安装 
什么 版 本 的 操作 系统 ， 都 可 以 连接 到 终端 服务 器 使 用 特定 版 本 的 应 用 软件 。 

(2) 分 支 机 构 方便 利用 : 企业 分 支 机 构 一 般 没 有 或 者 只 有 很 少 的 专业 IT 管理 员 , 企业 
如 果 向 各 个 分 支 机 构 委派 专门 的 网 络 管理 员 ， 无 疑 会 使 企业 增加 不 小 的 开支 。 这 时 候 如 果 
分 支 机 构 的 计算 机 均 采 用 终端 服务 的 解决 方案 ， 统 一 连接 到 终端 服务 器 应 用 特定 软件 ， 可 
以 简化 开 管理 维护 ， 减 少 维护 成 本 和 复杂 程度 。 

G) 任意 地 点 的 安全 访问 : 很 多 时 候 出 差 在 外 的 员工 需要 应 用 某 个 特性 的 应 用 软件 ， 
如 公司 定制 的 财务 软件 等 ， 这 时 候 员工 可 以 通过 手机 、 笔 记 本 电脑 等 移动 设备 ， 在 任意 地 
点 连接 公司 终端 服务 器 进行 应 用 。 如 在 Windows Server 2008 中 , 用 户 可 以 利用 终端 服务 中 
的 TS Web Access 功能 ， 没 必要 连接 VPN， 仅 仅 通过 Web 方式 即 可 访问 企业 终端 服务 器 ， 
并 且 可 以 获得 良好 的 用 户 体 验 。 此 外 ，Windows Server 2008 中 的 终端 服务 具有 网 关 功 能 
TS Gateway， 可 以 裁决 用 户 是 否 满足 连接 条 件 ， 并 且 可 以 确定 用 户 可 以 连接 哪些 终端 服务 
器 ， 保 证 了 安全 性 。 

与 传统 的 终端 服务 功能 相 比 ，Windows Server 2008 系统 在 这 方面 的 功能 明显 得 到 了 增 
强 。 例 如 ,在 Windows Server 2008 系统 环境 下 ， 客 户 端 用 户 能 够 使 用 内 置 在 终端 服务 中 的 
Ts Web Access 功能 ， 来 实现 通过 Web 方式 访问 单位 局 域 网 终端 服务 器 的 目的 ， 突 破 了 以 
往 只 能 通过 远程 桌面 连接 访问 终端 服务 器 的 限制 ， 通 过 这 种 访问 方式 ， 客 户 端 用 户 能 够 享 
受到 良好 的 用 户 体验 。 此外，Windows Server 2008 系统 的 终端 服务 还 新 增加 了 TS Gateway 
网 关 功能 ， 该 功能 能 够 判断 出 客户 端 用 户 是 否 满足 网 络 连接 条 件 ， 并 且 能 够 确定 用 户 究竟 
能 够 访问 哪些 终端 服务 器 ， 从 而 有 效 保证 了 终端 访问 的 安全 性 。 


12.1.2 部署 终 端 服务 器 


在 Windows 2000、Windows 2003 中 部 署 终端 服务 ， 其 客户 端 不 需要 进行 太 多 的 设置 ， 
只 需要 客户 端 具 有 远程 桌面 功能 即 可 , 远程 桌面 功能 在 Windows 2000 Pro、Windows XP Pro 
中 均 已 经 集成 ，Windows 98 客户 端 则 需要 单独 进行 安装 。 在 Windows 2008 中 ， 终 端 服务 有 
了 比较 大 的 改进 ， 用 户 可 以 通过 Web、 远 程 桌 面 、 终 端 服务 器 所 创建 的 rdp 或 者 msi 文件 进 
行 连接 。 如 果 用 户 需 要 通过 远程 桌面 进行 连接 ， 客 户 端 需要 安装 远程 桌面 6.0 以 上 版 本 。 在 
Vista 和 Windows 2008 以 及 Windows XP SP3 中 均 已 经 整合 远程 桌面 6.0, Windows XP SP2 
客户 端 用 户 可 以 通过 微软 网 站 下 载 安装 。 

远程 桌面 6.0 在 功能 性 上 相对 以 前 的 版 本 进行 了 加 强 ， 如 增强 了 服务 器 身份 验证 、 设 
管 终端 服务 网 关 、 即 插 即 用 设备 的 重 定向 功能 ， 并 且 配 合 Windows 2008 终端 服务 可 以 获 
得 类 似 Vista 的 用 户 体验 。 运 行 mstse 命令 可 以 打开 远程 桌面 6.0 控制 台 。 

用 户 可 以 使 用 远程 桌面 连接 或 TS RemoteApp， 从 公司 网 络 内 部 或 Internet 访问 终端 
服务 器 ， 连 接 到 终端 服务 器 来 运行 程序 、 保 存 文件 以 及 使 用 该 服务 器 上 的 网 络 资源 。 

通过 TS Web Access, 用 户 可 以 通过 访问 网 站 (从 Intemet 或 Intranet) 访 问 可 用 RemoteApp 
程序 的 列表 。 若 要 启动 RemoteApp 程序 ， 只 需 单 击 相应 的 程序 图 标 。 在 启动 RemoteApp 
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程序 时 ， 将 在 托管 RemoteApp 程序 的 终端 服务 器 上 启动 终端 服务 会 话 。 

安装 终端 服务 的 步骤 如 下 : 

(1) 以 超级 管理 员 权限 如 administrator 帐户 登录 Windows Server 2008 系统 ， 单 击 “ 开 
始 ” 按 钮 ， 选 择 “程序 ”一 “管理 工具 ”一 “服务 器 管理 器 ”， 进 入 “服务 器 管理 器 ” 控 
制 台 窗 口 ， 如 图 12-1 所 示 ， 可 以 集中 管理 Windows Server 2008 服务 器 系统 中 的 各 个 角色 
以 及 各 项 功能 。 


ETEEEEE = 区 
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图 12-1 “服务 器 管理 器 ”控制 台 窗 口 


(2) 单 击 窗口 左 侧 列表 区 域 中 的 “角色 ”节点 ， 在 右 侧 列表 中 ， 单 击 “ 添 加 角色 ” 按 
钮 ，“ 进 入 添加 角色 向 导 ” 对 话 框 ， 如 图 12-2 所 示 。 


厂 黔 认 情 台 下 将 跌 过 此 页 6) 


PE- =" | ms | 
图 12-2 “添加 角色 向 导 ” 对 话 框 


(3) 单 击 “ 下 一 步 ”按钮 ， 打 开 如 图 12-3 所 示 的 “选择 服务 器 角色 ”界面 。 单 击 选 中 
“终端 服务 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 
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ED 本 | 
图 12-3 选择 “终端 服务 ” 


(4) 在 如 图 12-4 所 示 界面 中 ， 单 击 选中 “终端 服务 器 ”对 话 框 ， 两 次 单 击 “ 下 一 步 ” 
按钮 。 


BT i i 
图 12-4 选择 “终端 服务 器 ” 


(5) 如 图 12-5 所 示 ， 选 择 身份 验证 方法 ， 选 择 是 否 启 用 网 络 级 别 验 证 NLA。NLA 可 


以 在 用 户 连接 到 终端 服务 器 时 对 之 进行 网 络 级 别 的 身份 验证 ， 提 高 了 连接 的 安全 性 。 单 击 
“下 一 步 ”按钮 。 


JE 0 | un | 
12-5 选择 身份 验证 方法 
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注意 : 要 启用 NLA 功能 ， 还 需要 在 服务 器 端的 系统 属性 中 ， 选 择 “只 允许 运行 带 网 
络 级 身份 验证 的 远程 桌面 的 计算 机 连接 ”， 如 图 12-6 所 示 。 


图 12-6 选择 “只 允许 运行 带 网 络 级 身份 验证 的 远程 桌面 的 计算 机 连接 ” 


(6) 如 图 12-7 所 示 ， 指 定 授 权 模式 。 使 用 终端 服务 器 ， 必 须 对 组 织 中 部 署 的 每 台 终端 
服务 器 拥有 Windows Server 2008 许可 证 ， 以 及 对 访问 终端 服务 器 的 设备 拥有 终端 服务 器 
客户 端 访 问 许 可 证 (CAL)。 对 于 正在 运行 的 Windows Server 2008 终端 服务 器 ， 有 以 下 两 种 
终端 服务 器 CAL: 每 设备 、 每 用 户 。 选 择 哪个 CAL 取决 于 准备 如 何 使 用 终端 服务 器 。 


开始 之 前 巷 尖 归 务 后 权 权 式 确定 终了 务 客户 访问 许可 证 fs Ch 的 类 型 ， 放 可 证 
服务 加 角色 服务 吕 全 此 TS CAL 信 给 连接 六 
终端 服务 指定 希望 此 反讽 服务 次 使 用 993 经商 最 秀 授权 模式 。 
区 = ARE) 
eb 入 9 天 站 ， 提 人 用 络 了 和 工具 开关 订 了 
Ca 
用 户 组 连 搞 到 此 络 油 服务 器 9 和 个 设备 作 须 可 以 使 用 TS 每 设备 C 人 L 
人 玫 三 用 户 a 
这 放 Ts 看 用 户 CAL 必须 可 用 于 庄 按 到 此 终 江 服务 总 的 每 个 用 户 。 
结果 


@ 指定 的 授权 模式 作 须 与 疼 庙 服务 许可 证 服务 器 中 可 用 的 Ts CAL 相 罗 本 


‘F#m |[FSm >] 2 | 取消 | 
图 12-7 选择 授权 模式 


如 果 使 用 每 设备 授权 模式 ， 并 且 客户 端 计算 机 或 设备 初次 连接 到 终端 服务 器 ， 默 认 情 
况 下 ， 向 该 客户 端 计算 机 或 设备 颁发 一 个 临时 证 书 。 在 客户 端 计算 机 或 设备 第 二 次 连接 到 
终端 服务 器 时 ， 如 果 许 可 证 服务 器 已 激活 ， 并 且 有 足够 的 TS 每 设备 CAL 可 用 , 许可 证 服 
务 器 将 向 该 客户 端 计算 机 或 设备 颁发 一 个 永久 TS 每 设备 CAL。 选择 每 设备 许可 模式 ， 管 
理 用 户 拥有 或 控制 的 设备 主 桌面 。 如 果 不 控制 访问 服务 器 的 设备 ， 不 建议 使 用 每 设备 许可 
模式 ， 例 如 ， 网 吧 的 计算 机 。 
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使 用 每 用 户 许可 模式 ， 必 须 拥 有 每 个 用 户 的 许可 证 。 用 户 可 从 无 数 设 备 访问 终端 服务 
器 ， 并 且 只 需要 一 个 CAL( 而 不 是 适用 于 每 个 设备 的 CAL)。 

选择 每 用 户 许可 模式 ， 则 执行 下 列 操作 : 

e 为 漫游 用 户 提供 访问 ; 

e 为 使 用 多 台 计 算 机 的 用 户 提供 访问 ， 例 如 便携 式 计 算 机 和 台式 计算 机 ; 

e 为 通过 用 户 而 不 是 计算 机 跟踪 网 络 访问 的 组 织 提供 轻松 管理 。 

通常 ， 如 果 组 织 拥 有 的 计算 机 数 多 于 用 户 数 ， 每 用 户 许可 是 一 种 经 济 有 效 的 终端 服务 
部 署 方 法 ， 因 为 只 需 支 付 用 户 访问 终端 服务 器 的 费用 ， 而 不 必 支 付 用 户 访问 终端 服务 器 的 
每 台 设备 的 费用 。 

单 击 “ 下 一 步 ” 按 钮 。 

(7) 如 图 12-8 所 示 ， 添 加 希望 添加 到 Remote Desktop Users 组 中 的 任何 用 户 或 组 ， 也 
可 以 今后 再 配置 。 单 击 “ 下 一 步 ”按钮 。 


名 选择 允许 访问 此 终身 服务 加 的 用 户 组 


JE snesl sensl 
图 12-8 选择 连接 到 终端 服务 器 的 用 户 和 组 


(8) 如 图 12-9 所 示 ， 确 认 信息 无 误 后 ， 单 击 “ 安 装 ” 按 钮 。 


es 条 本 安 其 亿 下 角色 , 角 名 屠 务 或 功 琵 ， 亩 单 证 “ 安 共 "”- 
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图 12-9 确认 信息 无 误 后 单 击 “ 安 装 ”按钮 
(9) 之 后 ， 系 统 将 提示 重新 启动 服务 器 以 完成 安装 过 程 。 单 击 “ 关 闭 ” 按 钮 ， 然 后 单 
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击 “ 是 ”按钮 重新 启动 服务 器 。 重 新 启动 后 ，“ 继 续 配 置 向 导 ” 完 成 安装 。 当 “安装 结果 ” 
页 面 上 出 现 “ 安 装 成 功 ”消息 时 ， 单 击 “ 关 闭 ”， 如 图 12-10 所 示 。 


D aamne. Emo 


图 12-10 系统 提示 终端 服务 器 安装 成 功 


12.2 部署 终端 服务 的 客户 端 


在 Windows XP、Windows 2003 中 部 署 终端 服务 ， 其 客户 端 不 需要 进行 太 多 的 设置 ， 
只 需要 客户 端 具 有 远程 桌面 功能 即 可 。 远 程 桌面 功能 在 Windows 2000 Pro Windows XP Pro 
中 均 已 经 集成 ， 在 Windows 98 客户 端 则 需要 单独 进行 安装 。 在 Windows 2008 中 终端 服务 
有 了 比较 大 的 改进 ， 用 户 可 以 通过 Web、 远 程 桌 面 、 终 端 服务 器 所 创建 的 rdp 或 者 msi 文 
件 进 行 连接 。 如果 用 户 需要 通过 远程 桌面 进行 连接 , 客户 端 需要 安装 远程 桌面 6.0 以 上 版 本 。 
在 Vista 和 Windows 2008 以 及 Windows XP SP3 中 均 已 经 整合 远程 桌面 6.0, Windows XP SP2 
客户 端 用 户 可 以 通过 微软 网 站 下 载 安装 。 

操作 步骤 如 下 : 

(1) 依次 选择 “开始 ”一 “程序 ”一 “附件 ”一 “远程 桌面 连接 ”命令 ， 可 以 打开 “ 远 
程 桌 面 连接 ”控制 台 ， 如 图 12-11 所 示 ， 配 置 计算 机 名 (或 他 地 址 ) 和 登录 用 户 名 。 
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图 12-11 配置 远程 桌面 连接 
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(2) 单 击 “ 连 接 ”按钮 后 ， 输 入 登录 密码 即 可 访问 终端 服务 器 。 


12.3 ”部 署 终端 服务 应 用 程序 


如 果 用 户 在 同一 台 终 端 服务 器 上 运行 多 个 RemoteApp 程序 , RemoteApp 程序 将 共享 同 
-个 终端 服务 会 话 。 

在 Windows Server 2008 中 ， 用 户 可 通过 多 种 方式 访问 RemoteApp 程序 ， 具 体 取 决 于 
所 选择 的 部 署 方 法 。 用 户 可 以 执行 以 下 任 一 操作 : 

e 使 用 终端 服务 Web 访问 (TS Web 访问 ) 网 站 上 该 程序 的 链接 。 

e 双击 由 管理 员 创建 并 分 发 的 远程 桌面 协议 (.rdp) 文 件 。 

e 在 桌面 上 ， 双 击 由 管理 员 使 用 Windows Installer(.msi) 程 序 包 创建 并 分 发 的 程序 图 

标 ， 或 从 “开始 ”菜单 的 “程序 ”列表 中 直接 选择 。 

e 双击 扩展 名 与 RemoteApp 程序 关联 的 文件 。 这 可 以 由 管理 员 使 用 Windows Installer 

程序 包 进 行 配置 。 

-Tdp 文件 和 Windows Installer 程序 包 都 包含 运行 RemoteApp 程序 所 需 的 设置 。 在 本 地 
计算 机 上 打开 RemoteApp 程序 之 后 ， 用 户 可 以 与 正在 终端 服务 器 上 运行 的 该 程序 进行 交 
互 ， 就 好 像 它们 在 本 地 运行 一 样 。 

若 要 访问 以 :rdp 文件 或 Windows Installer 程序 包 形 式 部 署 的 RemoteApp 程序 ， 客 户 端 
计算 机 必须 运行 Remote Desktop Connection(RDC)6.0 或 RDC 6.1。 所 支持 的 RDC 客户 端 版 
本 随 Windows Server 2008 和 Windows Vista 操作 系统 一 起 提供 。 若 要 为 带 Service Pack 1 
(SP1) 的 Windows Server 2003 或 带 Service Pack 2 (SP2) 的 Windows XP 下 载 RDC 6.0, 若 要 
通过 TS Web Access 访问 RemoteApp 程序 ， 客 户 端 计算 机 必须 运行 RDC 6.1。RDC 6.1 随 
下 列 操作 系统 一 起 提供 : 

® Windows Server 2008 

e 带 Service Pack1(SP1) 的 Windows Vista 

e@ 带 Service Pack 3(SP3) 的 Windows XP 

在 安装 完 终端 服务 器 角色 服务 后 ， 在 终端 服务 器 上 安装 程序 。 如 果 使 用 Windows 
Installer 程序 包 安装 程序 ， 该 程序 会 自动 在 终端 服务 器 安装 模式 下 安装 。 如 果 要 通过 另 一 
种 安装 程序 包 进 行 安装 ， 请 使 用 下 列 任 一 方法 将 服务 器 置 于 安装 模式 : 

e 使 用 “控制 面板 ”中 的 “在 终端 服务 器 上 安装 应 用 程序 ”选项 来 安装 程序 。 

。 在 安装 程序 之 前 ， 在 命令 提示 符 下 ， 输 入 change user/install。 安 装 完 程序 之 后 ， 输 

入 change user/execute 退出 安装 模式 。 

如 果 程 序 相互 关联 或 相互 依存 ， 建 议 将 这 些 程序 安装 在 同一 台 终 端 服务 器 上 。 例 如 ， 
建议 将 Microsoft Office 作为 一 个 套件 来 安装 , 而 不 要 将 各 个 Office 程序 分 别 安装 在 不 同 
的 终端 服务 器 上 。 

在 下 列 情况 下 ， 应 考虑 将 各 个 程序 分 别 安装 在 不 同 的 终端 服务 器 上 : 
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。 程序 存在 兼容 性 问题 ， 可 能 会 影响 其 他 程序 。 
。 一 个 应 用 程序 及 若干 关联 用 户 可 能 会 耗 尽 服务 器 的 能 力 。 


12.3.1 生成 应 用 程序 列表 


步骤 如 下 ; 

(1) 在 如 图 12-12 所 示 的 服务 器 管理 器 窗口 中 ， 展 开 “ 角 色 ” 一 “终端 服务 ” 左 侧 的 
“+” 号, 单 击 “TS RemoteApp 管理 器 ”后 ， 单 击 右 侧 窗口 里 的 “添加 RemoteApp 程序 ”， 
打开 “RemoteApp 向 导 ” 对 话 框 ， 单 击 “下 一 步 ”按钮 。 
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12-12 展开 “角色 ”“ 终 端 服务 ” 


(2) 如 图 12-13 所 示 ， 在 “选择 要 添加 到 RemoteApp 程序 列表 的 程序 ”界面 上 ， 选 中 
要 添加 到 RemoteApp 程序 列表 中 的 每 个 程序 旁边 的 复 选 框 ， 如 Microsoft Office Picture 
Manager， 可 以 选择 多 个 程序 。 
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图 12-13 选择 应 用 程序 
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注意 : 

@ “选择 要 添加 到 RemoteApp 程序 列表 的 程序 ”页 上 显示 的 程序 是 终端 服务 器 上 所 
有 用 户 “ 开 始 ” 菜 单 上 出 现 的 程序 。 如 果 要 添加 到 “RemoteApp 程序 ”列表 中 的 程序 不 在 
该 列表 中 ， 则 单 击 “ 浏 览 ”按钮 ， 然 后 为 该 程序 指定 .exe 文件 的 位 置 。 

@ 如 果 需 要 配置 RemoteApp 程序 的 属性 ， 单 击 该 程序 名 称 ， 然 后 单 击 “ 属 性 ”按钮 ， 
按照 此 步骤 ， 参 考 如 表 12-1 所 示 ， 设置 表 中 列 出 的 属性 。 


表 12-1 RemoteApp 程序 属性 


可 以 更 改 的 属性 说 明 
将 向 用 户 显示 的 程序 名 若 要 更 改 该 名 称 ， 在 “RemoteApp 程序 名 称 ”文本 框 中 输入 新 名 称 
若 要 更 改 该 路 径 , 在“ 位置 ”文本 框 中 输入 新 路 径 ， 或 单 击 “ 浏 览 ”按钮 
中 注 : 可 以 在 路 径 名 称 中 使 用 系统 环境 变量 。 例 如 ， 可 以 使 用 %windir% 代 
i 替 Windows 文件 夹 的 显 式 路 径 ( 例 如 C:\Windows)。 不 能 使 用 针对 用 户 的 
环境 变量 
别名 是 程序 的 唯一 标识 符 ， 默 认 值 为 程序 的 文件 名 (不 带 扩 展 名 )。 建 议 不 
RemoteApp 程序 的 别名 要 更 改 此 名 称 
RemoteApp 程序 是 否 可 通 | 默认 情况 下 ， 将 启用 “RemoteApp 程序 可 通过 TS Web 访问 获得 ”设置 。 
过 TS Web 访问 获得 车 要 更 改 此 设置 ， 选 中 或 取消 该 复 选 杠 
命令 行 参 数 可 以 指定 允许 还 是 不 允许 命令 行 参数 , 或 是 否 始终 使 用 相同 的 命令 行 参数 
程序 图 标 若 要 更 改 该 图 标 ， 单 击 “ 更 改 图 标 ” 


程序 属性 设置 完成 后 ， 单 击 “ 确 定 ”按钮 ， 然 后 单 击 “ 下 一 步 ”按钮 。 
(3) 单 击 “ 下 一 步 ”按钮 ， 在 出 现 的 “复查 设置 ”对 话 框 中 复查 设置 ， 单 击 “ 完 成 ” 
按钮 ， 出 现 如 图 12-13 所 示 的 窗口 ， 所 选 的 程序 出 现在 RemoteApp 程序 列表 中 。 


12.3.2 配置 全 局 部 署 设置 


可 以 配置 应 用 于 “RemoteApp 程序 ”列表 中 的 所 有 RemoteApp 程序 的 全 局 部 署 设置 。 
这 些 设 置 应 用 于 可 通过 TS Web 访问 获得 的 任意 RemoteApp 程序 。 此 外 ， 如 果 通 过 列 出 的 
任何 RemoteApp 程序 来 创建 .rdp 文件 或 Windows Installer 程序 包 , 这 些 设 置 就 是 默认 设置 。 

值得 强调 的 是 , 使 用 TS RemoteApp 管理 器 创建 rdp 文件 或 Windows Installer 程序 包 时 
对 部 署 设 置 所 做 的 任何 更 改 ， 会 覆盖 全 局 设置 。 

若 要 定义 用 户 将 如 何 连 接 到 终端 服务 器 (或 终端 服务 器 场 ) 以 访问 RemoteApp 程序 ， 可 
以 配置 终端 服务 器 部 署 设 置 。 


1. 配置 终端 服务 器 设置 


操作 步骤 如 下 : 
(1) 打开 “TS RemoteApp 管理 器 ”， 然 后 执行 下 列 任 一 操作 : 在 “操作 ”菜单 中 选择 
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“终端 服务 器 设置 ”命令 ,或 在 “概述 ” 窗 格 中 ， 单 击 “ 终 端 服务 器 设置 ”旁边 的 “更 改 ” 
按钮 ， 如 图 12-14 所 示 。 


尝 作 0) 查看 帮助 中 
添加 RenoteApp 程序 


ER | 
有 RemoteApp 管理 器 


一 RenoteApp 程序 旦 天 过 终 演 攻 
村 Meotshpp 设置 。 | ~ 算 册 上 ， 在 用 户 可 以 使 用 Rer 
YY #*- 


会 | 过 
时 


g 


回 


日 田 田 届 | 
EE 
EY 
加 


六 插入 emotehgp 设置 
日 | 才 助 00 
3 
图 终 污 最 务 器 设 轨 更 改 
a 国 el WIN2008SVL 
日 守 六 新 Y 用 产 只 二 机 风 汉 过 对 中 劝 列 册 的 
全 RemoteApp 得 可 。 扒 司 
中 知 志 个 TS 网 关 论 下 更 改 


图 12-14 设置 终端 服务 器 


(2) 打开 “终端 服务 器 ”选项 卡 ， 如 图 12-15 所 示 ， 然 后 在 “连接 设置 ”中 验证 或 修 
改 服务 器 名 称 或 场 名 称 、 远 程 桌 面 协议 RDP) 端 口号 和 服务 器 身份 验证 设置 。 
y 


终 训 服务 器 | TS 网 关 | 教 字符 名 | 通用 PDF 设置 | 自 定义 Fnr 设置 | 
客户 庆 在 连接 到 此 终 油 服务 器 时 持 使 用 这 些 设置 


人 则 必须 在 “服务 器 名 ” 径 中 提供 完全 限定 
三 运程 虎 面 访问 
厅 在 TS Web 访问 中 显示 到 此 终 庙 服务 器 的 运程 成 耐 连接 中) 


-访问 未 到 9 得 序 
不 和 前 用 户 在 冤 连 拉 时 启动 8 得 序 推 害 ) D) 


三 允许 用 户 在 初 抬 连接 时 启动 列 出 和 未 列 二 8 程序 必 


12-15 “终端 服务 器 ”选项 卡 


注意 : 如 果 选 中 了 “需要 服务 器 身份 验证 ” 复 选 框 ， 则 考虑 下 列 事项 : 如 果 任 何 客户 
端 计算 机 正在 运行 带 SP1 的 Windows Server 2003 或 带 SP2 的 Windows XP, 必须 将 终端 服 
务 器 配置 为 使 用 安全 套 接 字 层 (SSL) 证 书 (不 能 使 用 自 签名 证 书 )。 如 果 RemoteApp 程序 在 
Intranet 中 使 用 ,并 且 所 有 客户 端 计算 机 均 正在 运行 Windows Server 2008 或 Windows Vista， 
则 不 必 将 终端 服务 器 配置 为 使 用 SSL 证 书 。 在 这 种 情况 下 ， 应 使 用 网 络 级 身份 验证 。 

若 要 通过 TS Web 访问 链接 到 完整 的 终端 服务 器 桌面 ， 在 “远程 桌面 访问 ”中 ， 选 中 

“在 TS Web 访问 中 显示 到 此 终端 服务 器 的 远程 桌面 连接 ” 复 选 框 。 
在 “访问 未 列 出 的 程序 ”中 ， 选 择 下 列 任 一 选项 : 
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e 不 允许 用 户 在 初始 连接 时 启动 未 列 出 的 程序 (推荐 ) 

e 允许 用 户 在 初始 连接 时 启动 列 出 和 未 列 出 的 程序 

注意 : 为 了 帮助 防止 恶意 用 户 的 攻击 ， 或 帮助 防止 用 户 在 初始 连接 时 无 意 中 通 过 .rdp 
文件 启动 程序 ， 建议 选择 推荐 的 设置 。 推荐 的 设置 不 会 阻止 用 户 在 使 用 RemoteApp 程序 连 
接 到 终端 服务 器 之 后 , 远程 启动 未 列 出 的 程序 。 例 如， 如 果 Microsoft Word 在 RemoteApp 
程序 列表 中 ， 而 Microsoft Internet Explorer 浏览 器 不 在 该 列表 中 , 若 用 户 启动 远程 Word 会 
话 ， 然 后 单 击 Word 文档 中 的 某 个 超级 链接 ， 可 以 启动 mternet Explorer。 

如 果 选 择 不 推荐 的 选项 ， 用 户 可 以 在 初始 连接 时 通过 rdp 文件 远程 启动 任何 程序 ， 而 
不 仅仅 是 RemoteApp 程序 列表 中 的 程序 。 为 了 帮助 防止 恶意 用 户 的 攻击 , 或 帮助 防止 用 户 
在 初始 连接 时 无 意 中 通过 .rdp 文件 启动 程序 ， 建 议 不 要 选择 第 二 种 设置 。 

(3) 完成 选择 之 后 ， 单 击 “ 确 定 ”按钮 。 

2. 配置 终端 服务 网 关 设 置 

若 要 定义 用 户 是 否 可 以 使 用 终端 服务 网 关 (TS 网 关 ) 通过 防火 墙 连接 到 终端 服务 器 ， 
可 以 配置 TS 网 关 部 署 设置 。 操 作 步 骤 如 下 : 

(D 打开 “TS RemoteApp 管理 器 ”， 然 后 执行 下 列 任 一 操作 : 在 “操作 ”菜单 中 选择 
“TS 网 关 设置 ”命令 ， 或 在 “概述 ” 窗 格 中 ， 单 击 “TS 网 关 设置 ”旁边 的 “更 改 ”按钮 。 

(2) 在 “TS 网 关 ” 选 项 卡 上 ， 配 置 所 需 的 TS 网 关 行 为 ， 如 图 12-16 所 示 。 可 以 配置 
自动 检测 TS 网 关 服 务 器 设置 ， 还 是 使 用 指定 的 TS 网 关 服 务 器 设置 ， 还 是 不 使 用 TS 网 关 
服务 器 。 


到 
1N 有 务 入 [iS 网关]| 教 各 名 | 动用 RIP 讼 置 | 目 定义 OP 设置 | 


和 让 人 


Cao] wo | sw | 


12-16 TS 网 关 配 置 


(3) 在 Windows 2008 环境 中 , Windows 2008 已 配置 为 TS 网 关 服 务 器 以 启用 Windows 
远程 工作 网 站 功能 。 它 也 可 以 是 其 他 终端 服务 器 的 TS 网 关 。 选 择 “ 使 用 这 些 TS 网 关 服务 
器 设置 "。 

配置 TS 网 关 服 务 器 名 称 和 登录 方法 ,服务 器 名 称 必须 和 TS 网 关 服 务 器 的 SSL 证 书 中 
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击 “ 开 始 ” 和 “管理 工具 ”。 

(4) 单 击 “ 终 端 服务 ”， 然 后 单 击 “TS 网 关 管 理 器 ”。 

(5) 在 “用 户 帐 户 控制 ”窗口 中 单 击 “ 继 续 ” 按 钮 。 

(6) 在 “TS 网 管 管理 器 ”窗口 的 “TS 网 关 管 理 器 ”列表 中 ， 右 键 单 击 服务 器 名 称 ， 
然后 单 击 “ 属 性 ”命令 。 

(7) 在 “TS 网 关 服 务 器 属性 ”对 话 框 中 ， 单 击 “SSL 证 书 ” 选 项 卡 ， 然 后 记录 “颁发 
给 ”中 的 服务 器 的 名 称 。 在 终端 服务 器 上 使 用 此 名 称 作 为 TS 网 关 服 务 器 名 称 。 

如 果 和 希望 连接 尝试 使 用 相同 的 用 户 凭据 访问 TS 网 关 服 务 器 和 终端 服务 器 , 则 选中 “对 
TS 网 关 和 终端 服务 器 使 用 相同 用 户 凭据 ” 复 选 框 。 但 是 ， 如 果 任 何 源 (例如 组 策略 设置 ) 中 
存在 冲突 的 凭据 ， 并 且 这 些 和 凭据 无 法 使 用 ， 用 户 仍 可 能 会 收 到 两 次 提供 和 凭据 的 提示 。 如 果 
连接 使 用 默认 凭据 ， 并 且 这 些 凭 据 无 法 使 用 ， 用 户 也 可 能 会 收 到 两 次 提供 凭据 的 提示 。 

如 果 希 望 客户 端 计算 机 自动 检测 何 时 需要 TS 网 关 ， 则 选中 “不 对 本 地 地 址 使 用 TS 网 
关 服 务 器 ” 复 选 框 。( 选 择 此 选项 以 优化 客户 端 计算 机 的 性 能 。) 

若 要 对 客户 端 连 接 始终 使 用 TS 网 关 服务 器 ， 则 清除 “不 对 本 地 地 址 使 用 TS 网 关 服 
务 器 ” 复 选 框 。 

(8) 单 击 “确定 ”按钮 。 

3. 配置 数字 签名 设置 


可 以 使 用 数字 签名 为 用 于 将 RemoteApp 连接 到 终端 服务 器 的 .rdp 文件 签名 。 包括 用 于 
通过 TS Web 访问 连接 到 终端 服务 器 上 的 RemoteApp 程序 和 终端 服务 器 桌面 的 .rdp 文件 。 
若 要 使 用 已 进行 数字 签名 的 .rdp 文件 连接 到 RemoteApp 程序 ， 客户 端 计算 机 必须 正在 运行 
RDC 6.1( 客 户 端 支持 远程 桌面 协议 6.1)。 

如 果 使 用 数字 证 书 ， 连 接 文件 上 的 加 密 签名 将 提供 有 关 作 为 其 发 布 者 的 身份 的 可 验证 
信息 。 这样， 客户 端 计算 机 便 可 将 用 户 所 在 的 组 织 视 为 RemoteApp 程序 或 远程 桌面 连接 的 
来 源 ， 然 后 启动 或 禁止 基于 信任 条 件 的 连接 。 这 样 可 以 防止 使 用 恶意 用 户 已 算 改 的 rdp 
奖 件 。 

通过 使 用 服务 器 身份 验证 证 书 (SSL 证 书 ) 或 代码 签名 证 书 ， 可 以 为 用 于 RemoteApp 连 
接 的 .rdp 文件 签名 。 可 以 从 公用 证 书 颁 发 机 构 (CA) 或 您 的 公 钥 基础 结构 层次 结构 中 的 某 个 
企业 CA 获取 SSL 证 书 和 代码 签名 证 书 。 

如 果 已 在 对 终端 服务 器 连接 或 TS 网 关连 接 使 用 SSL 证 书 , 可 以 使 用 同一 个 证 书 为 .rdp 
文件 签名 。 在 Windows 2008 环境 中 ，TS 网 关 已 安装 在 运行 Windows 2008 并 具有 SSL 证 
书签 名 的 服务 器 上 。 

配置 数字 签名 设置 的 操作 步骤 如 下 : 

(D 从 Windows Server 2008 导出 终端 服务 网 关 证 书 。 步 骤 包 括 : 

@ 在 运行 Windows 2008 的 服务 器 上 ， 依 次 单 击 “ 开 始 ” 和 “管理 工具 ”。 
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@ 单 击 “ 终 端 服务 ”， 然 后 单 击 “TS 网 关 管 理 器 ”。 
@@ 在 “TS 网 管 管理 器 ”窗口 的 “TS 网 关 管 理 器 ”列表 中 ， 右 键 单 击 服务 器 名 称 ， 
然后 单 击 “ 属 性 ”命令 ， 如 图 12-17 所 示 。 


@ 在 “TS 网 关 服务 器 属性 ”对 话 框 中 , 依次 单 击 “SSL 证 书 ” 选 项 卡 和 “浏览 证 书 ”。 

@@ 在 “安装 证 书 ” 对 话 框 的 “证 书 ” 列 表 中 ， 单 击 当前 已 安装 的 证 书 ， 然 后 单 击 “ 查 
看 证 书 ”。 

在 “证 书 ” 对 话 框 中 ， 依 次 单 击 “ 详 细 信 息 ” 选 项 卡 和 “复制 到 文件 ”。 

@ 在 证 书 导 出 向 导 中 ， 单 击 “ 下 一 步 ”按钮 。 

@ 确认 选中 了 “是 ， 导 出 密 钥 ”， 然 后 单 击 “下 一 步 ”按钮 。 确 认 选 中 了 “包括 证 
书 路 径 中 的 所 有 证 书 ( 如 果 可 能 )” 和 “导出 所 有 扩展 属性 ”， 然 后 单 击 “ 下 一 步 ” 按 钮 。 
请 不 要 选中 “如 果 导 出 成 功 ， 删 除 密 钥 ”。 

@ 输入 用 于 保护 证 书 文件 的 强 密 码 ， 然 后 单 击 “ 下 一 步 ”按钮 。 

若 要 保存 .pfx 文件 (例如 ，C:trustedcertpfg)， 请 选择 只 有 管理 员 可 以 访问 的 安全 位 置 ， 
然后 单 击 “ 下 一 步 ”按钮 。 完 成 此 向 导 。 

(2) 导入 SSL 证 书 到 终端 服务 器 。 步 又 包括 : 

@ 使 用 网 络 或 USB 驱动 器 将 trustedcert.pfx 文件 移动 到 其 他 终端 服务 器 。 在 其 他 终端 
服务 器 上 ， 双 击 .p 信 文件 。 

@ 在 证 书 导 入 向 导 的 “欢迎 使 用 ”页 上 ， 单 击 “ 下 一 步 ”按钮 。 

@ 浏览 到 已 保存 的 p 人 文件 的 位 置 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

@ 输入 在 导出 过 程 中 输入 的 密码 , 确认 选中 了 “标志 此 密 钥 为 可 导出 的 密 钥 ” 和 “ 包 
括 所 有 扩展 属性 ”， 然 后 单 击 “下 一 步 ” 按 钮 。 

@@ 在 “证 书 存储 ”页 上 ， 选 中 “将 所 有 的 证 书 放 入 下 列 存储 ”， 依 次 单 击 “ 浏 览 ” 
和 “个 人 ”。 单 击 “ 下 一 步 ” 按 钮 ， 即 完成 此 向 导 。 
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@) 接着 ， 配 置 在 RemoteApp 中 使 用 的 数字 证 书 。 步 又 如 下 : 

@ 打开 “TS RemoteApp 管理 器 ”， 然 后 执行 下 列 任 一 操作 : 在 “操作 ”菜单 中 选择 
“数字 签名 设置 ”命令 ， 或 在 “概述 ” 窗 格 中 ， 单 击 “ 数 字 签名 设置 ”旁边 的 “更 改 ” 
按钮 。 

选中 “使 用 数字 证 书签 名 ” 复 选 框 。 

@ 在 “数字 证 书 详细 信息 ”对 话 框 中 ， 单 击 “ 更 改 ”。 

在 “选择 证 书 ” 对 话 框 中 ， 单 击 要 使 用 的 证 书 ， 然 后 单 击 “ 确 定 ”按钮 。 

“选择 证 书 ”对 话 框 由 本 地 计算 机 的 证 书 存储 区 或 个 人 证 书 存储 区 中 的 证 书 填充 。 要 
使 用 的 证 书 必须 位 于 这 两 个 存储 区 的 任 一 存储 区 中 ; 如 果 用 户 从 公用 计算 机 或 家 用 计算 机 
连接 到 RemoteApp 程序 ， 必 须 使 用 作为 “Microsoft 根 证 书 程序 成 员 ” 之 一 的 公共 证 书 颁 
发 机 构 (CA) 发 放 的 CA 证 书 ,或 者 使 用 由 作为 “Microsoft 根 证 书 程序 成 员 ” 之 一 的 公共 CA 
共同 签名 的 企业 CA 发 放 的 证 书 。 

如 果 用 户 正 使 用 自行 颁发 的 证 书 ， 那 么 必须 为 远程 计算 机 上 的 服务 器 安装 安全 证 书 。 
只 应 从 直接 连接 到 组 织 网 络 的 计算 机 下 载 证 书 安装 程序 包 。 请 勿 通过 Intermet 下 载 此 程 
序 包 。 

(3) 为 远程 计算 机 上 的 服务 器 安装 安全 证 书 。 步 骤 如 下 : 

@ 从 Windows 2008 网 络 中 的 计算 机 中 ， 打 开 Web 浏览 器 并 在 地 址 栏 中 输入 以 下 
地 址 : \ 服 务 器 名 称 \publicvdownloads( 服 务 器 名 称 是 正在 运行 Windows 2008 的 服务 器 的 
名 称 )。 

@) 将 文件 Install Certificate Package.zip 复制 到 便携 存储 介质 (例如 CD 或 USB 驱动 
器 ) 上 。 

@@ 将 CD 或 USB 驱动 器 插 到 未 加 入 Windows 域 且 您 希望 通过 它 访问 远程 工作 网 站 的 
计算 机 中 。 

@ 在 Windows 浏览 器 中 ， 导 航 至 用 户 将 Install Certificate Package.zip 复制 到 的 位 置 。 
人 右 击 Install Certificate Package.zip， 然 后 单 击 “ 全 部 提取 ”命令 。 

在 “提取 压缩 (Zipped) 文 件 夹 ” 对 话 框 中 ， 输 入 用 户 希 望 将 文件 提取 到 的 文件 夹 位 
然后 单 击 “ 提 取 ” 按 钮 。 

@ 打开 已 提取 文件 所 在 的 文件 夹 ， 然 后 双击 InstallCertificate。 

选择 “将 此 证 书 安装 在 计算 机 上 ”， 然 后 单 击 “ 安 装 ”按钮 。 


证 


12.3.3 部署 RemoteApp 到 用 户 


可 以 使 用 下 列 任 一 部 署 方法 : 

。 通过 共享 文件 夹 或 其 他 分 发 机 制 (例如 ，Microsoft Systems Management Server 或 
Active Directory 软件 分 发 ) 将 RemoteApp 程序 作为 .rdp 文件 或 Windows Installer 程 
序 包 进 行 分 发 。 

e 通过 TS Web 访问 分 发 RemoteApp 程序 ， 在 网 站 上 获取 RemoteApp 程序 。 
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下 面 介绍 最 常用 的 通过 TS Web 访问 部 署 RemoteApp 程序 。 

使 用 TS Web 访问 ， 用 户 可 从 Internet 上 的 网 站 或 从 Intranet 访问 RemoteApp 程序 。 
车 要 启动 RemoteApp 程序 ， 请 用 户 单 击 “ 程 序 ” 图 标 。TS Web 访问 提供 了 一 种 涉及 少 配 
置 的 解决 方案 。 默 认 的 TS Web 访问 页 包括 可 集成 到 自 定义 网 页 的 自 定义 Web 部 件 。 

若 要 使 用 TS Web 访问 部 署 RemoteApp 程序 ， 操 作 如 下 : 

e 安装 TS Web 访问 角色 服务 。 

e 填充 TS Web 访问 计算 机 安全 组 。 

e 为 TS Web 访问 指定 可 访问 的 终端 服务 器 RemoteApp 程序 列表 。 


1. 安装 TS Web 访问 角色 服务 


必须 是 本 地 Administrators 组 的 成 员 才能 完成 此 步骤 。 必 须 在 希望 用 户 通过 Web 连接 
以 访问 RemoteApp 程序 的 服务 器 上 安装 TS Web 访问 角色 服务 。 在 安装 TS Web 访问 角色 
服务 时 ， 还 会 安装 Microsoft Internet Information Services (IIS) 7.0。 

安装 TS We 访问 的 服务 器 We 服务 器 。 该 服务 器 不 必 是 终端 服务 器 。 在 Windows 2008 
网 络 中 ， 建 议 在 安装 了 终端 服务 的 同一 服务 器 或 Windows 域内 的 任何 其 他 服务 器 (但 不 要 
在 运行 Windows 2008 的 服务 器 ) 上 安装 TS Web 访问 。 

(1) 打开 服务 器 管理 器 : 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 。 

(2) 如 果 已 安装 “终端 服务 ”角色 ， 执 行 下 列 操作 : 在 “角色 摘要 ”下 ， 单 击 “终端 
服务 ”; 在 “角色 服务 ”中 ， 单 击 “ 添 加 角色 服务 ”; 如 图 12-18 所 示 ， 在 “选择 角色 服 
务 ” 页 上 ， 选 中 “TS Web 访问 ” 复 选 框 。 


ETETET 可 区 


种 选择 角色 服务 


12-18 选中 “TS Web 访问 ” 复 选 框 


如 果 尚 未 安装 “终端 服务 ”角色 ， 请 执行 下 列 操作 : 在 “角色 摘要 ”， 单 击 “ 终 端 服 
务 ”; 在 “开始 之 前 ”页 上 ， 单 击 “ 下 一 步 ”按钮 : 在 “选择 服务 器 角色 ”页 上 ， 选 中 “ 终 
端 服 务 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 复查“ 终端 服务 ”页 ， 然 后 单 击 “ 下 一 步 ” 
按钮 ， 在 “选择 角色 服务 ”页 上 ， 选 中 TS Web 访问 复 选 框 。 

(3) 复查 必需 的 角色 服务 相关 信息 ， 然 后 单 击 “ 添 加 必需 的 角色 服务 ”。 单 击 “ 下 一 

(4) 复查 “Web 服务 器 (IS)” 页 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

(5) 在 “选择 角色 服务 ”页 上 ， 提 示 选 择 要 为 IS 安装 的 角色 服务 。 单 击 “ 下 一 步 ” 
按钮 。 
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(6) 在 “确认 安装 选择 ”页 上 ， 单 击 “ 安 装 ” 按 钮 ， 接 下 来 进入 安装 进程 ， 如 图 12-19 
所 示 。 
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图 12-19 安装 “TS Web 访问 ” 


(7) 在 “安装 结果 ”页 上 ， 确 认 安 装 已 成 功 ， 然 后 单 击 “ 关 闭 ” 按 钮 。 
2. 填充 TS Web 访问 计算 机 安全 组 


如 果 TS Web 访问 服务 器 和 托管 RemoteApp 程序 的 终端 服务 器 是 不 同 的 服务 器 ， 则 
必须 将 TS Web 访问 服务 器 的 计算 机 帐户 添加 到 终端 服务 器 上 的 TS Web 访问 计算 机 安全 
组 中 。 

将 TS Web 访问 服务 器 的 计算 机 帐户 添加 到 该 安全 组 中 ， 执 行 下 列 操作 : 

(D 在 终端 服务 器 上 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 。 

(2) 在 “用 户 帐 户 控制 ”窗口 中 单 击 “ 继 续 ”。 

(3) 在 控制 台 窗 格 中 ， 展 开 “ 本 地 用 户 和 组 ”， 然 后 单 击 “ 组 ”。 

(4) 在 详细 信息 窗 格 中 ， 双 击 “TS Web 访问 计算 机 ”。 

(5) 在 “TS Web 访问 计算 机 属性 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 

(6) 在 “选择 用 户 、 计 算 机 或 组 ”对 话 框 中 ， 单 击 “ 对 象 类 型 ”。 

(7) 在 “对 象 类 型 ”对 话 框 中 ， 选 中 “计算 机 ” 复 选 框 ， 然 后 单 击 “确定 ”按钮 。 

(8) 在 “输入 要 选择 的 对 象 名 称 ” 框 中 ， 输 入 TS Web 访问 服务 器 的 计算 机 帐户 ， 然 
后 单 击 “确定 ”按钮 。 

(9) 单 击 “ 确 定 ”按钮 ， 关 闭 “TS Web 访问 计算 机 属性 ”对 话 框 。 

3. 为 TS Web 访问 指定 可 访问 的 终端 服务 器 RemoteApp 程序 列表 


可 以 将 TS Web 访问 配置 为 填充 指定 的 终端 服务 器 或 终端 服务 器 场 的 Web 部 件 中 出 现 
的 RemoteApp 程序 列表 。 


第 12 章 终端 服务 “341。 


(1) 为 TS Web 访问 指定 数据 源 。 

默认 情况 下 ，TS Web 访问 会 填充 来 自 单个 终端 服务 器 的 RemoteApp 程序 列表 ， 并 指 
向 本 地 主机 。 为 RemoteApp 程序 列表 中 的 TS Web 访问 启动 的 所 有 RemoteApp 程序 填充 终 
端 服务 器 的 Web 部 件 。 

若 要 完成 此 步骤 ， 必 须 使 用 本 地 Administrator 帐户 或 作为 TS Web 访问 服务 器 上 的 
TS Web 访问 Administrators 组 成 员 的 帐户 登录 TS Web 访问 服务 器 。 请 按照 此 列表 中 的 步 
又 操作 。 

若 要 指定 要 充当 数据 源 的 终端 服务 器 ， 请 执行 下 列 操作 : 

@ 连接 到 TS Web 访问 网 站 。 按 下 列 步骤 执行 : 在 TS Web 访问 服务 器 上 ， 选 择 “ 开 
始 ” 一 “管理 工具 ”一 “终端 服务 ”一 “TS Web 访问 管理 ”命令 。 

然后 ， 使 用 Internet Explorer 连接 到 TS Web 访问 网 站 。 默 认 情 况 下 ， 该 网 站 位 于 以 下 
地 址 ， 其 中 服务 器 名 称 是 TS Web 访问 服务 器 的 名 称 ，http:// 服 务 器 名 称 /ts 

@) 用 本 地 Administrator 帐户 或 作为 本 地 TS Web 访问 Administrators 组 成 员 的 帐户 登 
录 到 站 点 (如 果 已 使 用 其 中 任 一 帐户 登录 到 该 计算 机 ， 系 统 不 会 提示 用 户 输入 凭据 )。 

图 如 果 使 用 “TS Web 访问 管理 ”选项 访问 TS Web 访问 站 点 , 该 页 将 自动 打开 至 “ 配 
置 ”选项 卡 。 在 “配置 ”选项 卡 的 “编辑 器 区 域 ”区 域 的 “终端 服务 器 名 称 ” 框 中 ， 输 入 
要 充当 数据 源 的 终端 服务 器 的 名 称 。 

@ 单 击 “ 应 用 ”按钮 。 

(2) 接 到 TS Web 访问 。 

默认 情况 下 ， 可 以 访问 以 下 位 置 的 TS Web 访问 网 站 ， 其 中 服务 器 名 称 是 安装 了 TS 
Web 访问 的 Web 服务 器 的 NetBIOS 名 称 或 完全 限定 的 域名 : 

http:// 服 务 器 名 称 /ts 

如 果 通 过 公用 计算 机 (例如 网 吧 中 的 计算 机 ) 连 接 到 TS Web 访问 ， 应 清除 Web 部 件 右 
下 角 显 示 的 “我 使 用 的 是 符合 组 织 安全 策略 的 专用 计算 机 ” 复 选 框 。 在 公用 模式 下 ， 不 会 
提供 保存 凭据 的 选项 ， 也 不 启用 位 图 的 缓存 。 


12.3.4 生成 客户 端 程序 


有 3 种 方式 可 以 使 客户 端 来 运行 应 用 程序 列表 中 的 程序 : (D) 添 加 rdp 文件 ，(2) 制 
作 Windows 安装 包 ; (3)web 访问 。 这 里 介绍 前 两 种 方法 。 


1. 通过 RemoteApp 程序 创建 .rdp 文件 


可 以 使 用 RemoteApp 向 导 , 通过 “RemoteApp 程序 ”列表 中 的 任意 程序 创建 rdp 文 
件 。 步 骤 如 下 : 

(1) 选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS RemoteApp 管理 器 ”命令 ， 
启动 TS RemoteApp 管理 器 。 

(2) 在 “RemoteApp 程序 ”列表 中 ， 单 击 要 为 其 创建 Idp 文件 的 程序 ， 若 要 选择 多 个 
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程序 ， 按 住 Ctrl 键 并 单 击 每 个 程序 名 。 如 果 选 择 了 多 个 程序 ， 此 过 程 剩余 部 分 所 述 的 设置 
应 用 于 所 有 所 选 的 程序 。 为 每 个 程序 分 别 创建 一 个 .rdp 文件 。 右 击 选择 的 应 用 程序 ， 单 击 
“创建 rdp 文件 ”， 如 图 12-20 所 示 。 
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图 12- 20 创建 zdp 文 件 
在 出 现 的 窗口 中 连续 两 次 单 击 “ 下 一 步 ”按钮 ， 出 现 如 图 12-21 所 示 窗 口 ， 单 击 “ 完 
成 ”按钮 。 
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12-21 单 击 “ 完 成 ”按钮 


G) 在 “指定 程序 包 设置 ”页 上 ， 执 行 下 列 操作 : 
@ 在 “输入 要 保存 程序 包 的 位 置 ” 框 中 ， 接 受 默认 位 置 ， 或 单 击 “ 浏 览 ”指定 rdp 
文件 的 新 位 置 。 
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@ 在 “终端 服务 器 设置 ”区 域 ， 单 击 “ 更 改 ” 修 改 服务 器 名 称 、RDP 端口 号 和 需要 
服务 器 身份 验证 设置 。 完 成 操作 后 ， 单 击 “ 确 定 ” 按 钮 。 

图 在 “TS 网 关 设置 ”区 域 ， 单 击 “ 更 改 ” 修 改 或 配置 客户 端 计算 机 是 否 将 使 用 TS 
网 关 服 务 器 跨 防火 墙 连接 到 目标 终端 服务 器 。 完 成 操作 后 ， 单 击 “ 确 定 ” 按 钮 。 

图 若 要 为 rdp 文件 进行 数字 签名 ， 在 “证 书 设 置 ” 部 分 ， 单 击 “ 更 改 ” 选 择 或 更 改 要 
使 用 的 证 书 。 选 择 要 使 用 的 证 书 ， 然 后 单 击 “ 确 定 ” 按 钮 。 

(4) 完成 后 ， 单 击 “ 下 一 步 ” 按 钮 。 

(5) 在 “复查 设置 ”页 上 ， 单 击 “ 完 成 ”按钮 。 

向 导 完成 后 ， 保 存 .rdp 文件 的 文件 夹 将 在 新 窗口 中 打开 。 可 以 确认 存在 .rdp 文件 。 


2. 通过 RemoteApp 程序 创建 Windows Installer 程序 包 


可 以 使 用 RemoteApp 向 导 , 通过 “RemoteApp 程序 ”列表 中 的 任意 程序 创建 Windows 
Installer (msi 程 序 包 。 操 作 步 骤 如 下 : 

(D 在 图 12-12 中 ， 选 择 一 个 或 多 个 程序 (如 果 选 择 了 多 个 程序 ， 此 过 程 剩余 部 分 所 述 
的 设置 应 用 于 所 有 所 选 的 程序 ， 为 每 个 程序 分 别 创建 一 个 Windows Installer 程序 包 ) 后 ， 右 
击 选择 的 应 用 程序 ， 在 弹出 的 菜单 中 单 击 “ 创 建 Windows Installer 程序 包 ”， 类 似 如 上 步 
又 可 创建 Windows Installer 程序 包 。 如 图 12-22 窗口 中 ， 复 制 .rdp 文件 或 Windows Installer 
程序 包 到 客户 端 。 
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图 12-22 ”生成 的 rdp 文件 、Windows Installer 程序 包 


(2) 在 “欢迎 使 用 RemoteApp 向 导 ” 页 上 ， 单 击 “ 下 一 步 ” 按 钮 。 

(3) 在 “指定 程序 包 设置 ”页 上 ， 执 行 下 列 操作 : 

@ 在 “输入 要 保存 程序 包 的 位 置 ” 框 中 , 接受 默认 位 置 , 或 单 击 “ 浏 览 ” 指 定 Windows 
Installer 程序 包 的 新 位 置 。 

@ 在 “终端 服务 器 设置 ”区 域 ， 单 击 “ 更 改 ” 修 改 服务 器 名 称 、RDP 端口 号 和 需要 
服务 器 身份 验证 设置 ， 完 成 操作 后 单 击 “确定 ”按钮 。 

@ 在 “TS 网 关 设 置 "区 域 , 单 击 “ 更 改 ” 修 改 或 配置 客户 端 计 算 机 是 否 将 使 用 TS 网 
关 服务 器 跨 防 火 墙 连接 到 目标 终端 服务 器 (有 关 这 些 设 置 的 详细 信息 , 请 参阅 本 文档 的 “ 配 
置 全 局 部 署 设 置 ”部 分 的 “配置 TS 网 关 设 置 ”) 完 成 操作 后 ， 请 单 击 “确定 ” 按 钮 。 

@ 若 要 为 rdp 文件 进行 数字 签名 ， 在 “证 书 设置 ”部 分 ， 单 击 “ 更 改 ” 选择 或 更 改 要 
使 用 的 证 书 。 选 择 要 使 用 的 证 书 ， 然 后 单 击 “ 确 定 ”按钮 。 

(4) 完成 后 ， 单 击 “ 下 一 步 ” 按 钮 。 

(5) 在 “配置 分 发 程序 包 ” 页 上 执行 下 列 操作 : @ 在 “快捷 方式 图 标 ” 区 域 ， 指 定 该 
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程序 的 快捷 方式 图 标 在 客户 端 计算 机 上 的 显示 位 置 。@ 在 “接管 客户 端 扩展 ”区 域 ， 配 置 
是 否 接管 该 程序 的 客户 端 文件 扩展 名 。 

如 果 将 客户 端 计算 机 上 的 文件 扩展 名 与 RemoteApp 程序 关联 , 对 于 终端 服务 器 上 由 该 
程序 处 理 的 所 有 文件 扩展 名 ， 在 客户 端 计算 机 上 也 与 RemoteApp 程序 关联 。 例如， 如 果 将 
Microsoft Word 作为 RemoteApp 程序 添加 并 配置 此 选项 以 接管 客户 端 文件 扩展 名 ， 那 么 由 
该 Word 接管 的 客户 端 计算 机 上 的 任意 文件 扩展 名 都 与 远程 Word 关联 。 这 意味 着 客户 端 
计算 机 上 现 有 的 任何 程序 不 再 处 理 文件 扩展 名 (例如 .doc 和 .dot)。 注 意 ， 系 统 不 会 提示 用 户 
终端 服务 器 是 否 应 接管 该 程序 的 文件 扩展 名 。 

若 要 查看 与 终端 服务 器 上 的 某 个 程序 关联 的 文件 扩展 名 ,依次 单 击 “ 开 始 ”、“ 控 制 
面板 ”， 然 后 双击 “默认 程序 ”。 单 击 “将 文件 类 型 或 协议 与 程序 关联 ”， 以 查看 文件 扩 
展 名 及 其 默认 关联 的 程序 。 

若 要 查看 与 终端 服务 器 上 的 某 个 程序 关联 的 文件 扩展 名 ， 依 次 单 击 “ 开 始 ”、“ 控 制 
面板 ”， 然 后 双击 “默认 程序 ”。 单 击 “ 将 文件 类 型 或 协议 与 程序 关联 ”， 以 查看 文件 扩 
展 名 及 其 默认 关联 的 程序 。 

不 要 在 终端 服务 器 上 安装 启用 此 设置 时 创建 的 Windows Installer 程序 包 。 如 果 这 样 做 ， 
使 用 Windows Installer 程序 包 的 客户 端 计算 机 可 能 无 法 启动 关联 的 RemoteApp 程序 。 

(6) 配置 了 分 发 程序 包 的 属性 之 后 ， 单 击 “ 下 一 步 ” 按 钮 。 

(7) 在 “复查 设置 ”页 上 ， 单 击 “ 完 成 ”按钮 。 

向 导 完成 后 , 保存 Windows Installer 程序 包 的 文件 夹 将 在 新 窗口 中 打开 。 可 以 确认 存 
在 Windows Installer 程序 包 。 


12.4 配置 客户 端 应 用 环境 


若 要 连接 到 TS Web 访问 , 客户 端 计 算 机 必须 运行 RDC 6.1。RDC 6.1 随 下 列 操作 系 
统一 起 提供 : 

® Windows Server 2008 

e@ 带 Service Pack1(SP1) 的 Windows Vista 

@ 和 带 Service Pack 3(SP3) 的 Windows XP 

此 外 ,必须 启用 终端 服务 ActiveX 客户 端 控件 。 该 ActiveX 控件 随 RDC 6.1 一 起 提供 。 

如 果 客 户 端 计算 机 正 运行 Windows Server 2008 或 带 SP1 的 Windows Vista， 并 且 收 到 
Internet Explorer 信息 栏 上 显示 的 该 站 点 限制 显示 某 些 内 容 的 警告 消息 , 依次 单 击 消息 行 上 
的 “禁用 的 加 载 项 ”和 “运行 ActiveX 控件 ”。 您 可 能 会 看 见 一 条 安全 警告 。 需 确保 Microsoft 
Corporation 是 ActiveX 控件 的 发 行者 ， 然 后 单 击 “ 运 行 ” 按 钮 。 


注意 : 
如 果 该 ntermnet Explorer 信息 栏 没有 出 现 ， 并 且 不 能 连接 到 TS Web 访问 ， 客 户 端 用 户 
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可 以 使 用 Internet Explorer 的 “工具 ”菜单 上 的 “管理 加 载 项 ”工具 来 启用 终端 服务 ActiveX 
控件 。 加 载 项 显示 为 Microsoft 终端 服务 客户 端 控件 。 


如 果 客 户 端 计算 机 正 运行 带 SP3 的 Windows XP， 当 用 户 首 次 访问 TS Web 访问 站 点 
时 ， 该 网 站 的 页 面 显示 一 条 错误 消息 ， 指 出 “ActiveX 控件 未 安装 或 未 启用 ”。 使 用 下 列 
步骤 启用 ActiveX 控件 (以 在 带 SP3 的 Windows XP 中 启用 ActiveX 控件 为 例 ): 

(1) 连接 到 TS Web 访问 站 点 ， 然 后 输入 用 户 的 登录 凭据 。 

(2) 根据 正 运行 的 Internet Explorer 的 版 本 ， 执 行 下 列 操作 之 一 : 

如 果 客 户 端 计算 机 正 使 用 了 termet Explorer7， 在 “工具 ”菜单 上 依次 单 击 “ 管 理 加 载 
项 ”和 “启用 或 禁用 加 载 项 ”命令 。 

如 果 客 户 端 计算 机 正 使 用 Intemet Explorer 6， 在 “工具 ”菜单 上 单 击 “ 管 理 加 载 项 ” 
命令 ， 如 图 12-23 所 示 。 


t 
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图 12-23 在 “工具 ”菜单 上 单 击 “ 管 理 加 载 项 ”命令 


此 时 将 出 现 “ 管 理 加 载 项 ”对 话 框 。 请 确保 将 “显示 ”列表 设置 为 “Internet Explorer 
中 当前 加 载 的 加 载 项 ”。 

G) 在 “已 禁用 ”中 , 单 击 “Microsoft 终端 服务 客户 端 控 件 (redist)” 或 “Microsoft RDP 
客户 端 控 件 (redist)”， 已 列 出 其 中 之 一 

(4) 在 “设置 ”中 ， 单 击 “ 启 用 ”按钮 。( 如 果 正 运行 Intemet Explorer 6， 在 对 话 框 中 
单 击 “ 确 定 ”， 该 对 话 框 指出 您 可 能 需要 重新 启 Intemet Explorer， 更 改 才 会 生效 )。 如 果 
ActiveX 控件 列 出 两 次 ， 那 么 两 个 实例 都 启用 。 

(5) 单 击 “ 确 定 ” 按 钮 关闭 “管理 加 载 项 ”对 话 框 (如 果 正 运行 ntemet Explorer 7， 在 
对 话 框 中 单 击 “ 确 定 ” 按 钮 ， 重 新 启动 mtemet Explorer， 更 改 才 会 生效 )。 


12.5 客户 端 访问 TS 的 应 用 程序 


将 rdp 文件 复制 到 客户 端 计算 机 。 在 客户 端 计算 机 ， 双 击 打 开 :rdp 文件 ， 输 入 登录 密 
码 ， 可 打开 终端 服务 器 上 的 应 用 程序 。 
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12.6 本 章 小 结 


本 章 介绍 了 终端 服务 器 及 其 客户 端的 配置 ， 包 括 应 用 程序 在 终端 服务 器 、 客 户 端的 配 
置 和 应 用 。 掌 握 此 技术 ， 对 于 提高 Windows 网 络 的 资源 共享 效率 大 有 神 益 。 


12.7 思考 与 练习 


【思考 题 】 
1. 什么 是 终端 服务 ? 其 实现 原理 是 什么 ? 
2. 终端 服务 的 主要 部 署 步骤 有 哪些 ? 


【练习 题 】 
部 署 和 运用 终端 服务 的 应 用 程序 (参考 12.3 一 12.5 节 )。 
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【本 章 导 读 】 
通过 Windows Server 2008 及 其 相关 软件 配置 的 网 络 服务 器 还 能 为 内 网 用 户 起 到 代理 
上 网 的 作用 ， 即 用 户 通 过 Windows Server 2008 服务 器 能 访问 外 网 的 资源 。Windows Server 
2008 服务 器 又 是 一 种 特殊 的 防火 墙 , 在 提供 代理 上 网 服务 的 同时 能 保护 内 网 用 户 及 其 资源 
免 受 来 自 外 网 的 侵害 。 通 过 与 Forefront TMG( 可 简称 为 “TMG”) 的 集成 ，Windows Server 
2008 服务 器 能 够 发 挥 代 理 服务 器 的 作用 。 


13.1 ”TMG 概述 


微软 发 布 的 ISA Server 新 一 代 版 本 Forefront Threat Management Gateway( 安 全 威胁 管 
理 网 关 )， 一 般 称 为 Forefront TMG， 包 括 如 下 组 件 : 
e 安全 配置 和 企业 级 集中 管理 控制 台 : Forefront Server Security Management Console; 
e 端点 防护 Forefront Client Security(FCS); 
e 信息 协作 防护 : Forefront Security for Exchange Server(FSE)and Forefront Security for 
SharePoint(FSSP); 
e 边缘 防护 :Forefront Threat Management Gateway(Forefront TMG)。 


13.1.1 TMG 功能 简介 


目前 Forefront TMG、NAP、Forefront Endpoint Protection 的 客户 端 仍然 是 独立 的 ; 在 
不 久 的 将 来 ， 可 能 就 只 有 一 个 客户 端 来 实现 这 所 有 的 功能 。 这 样 可 以 极 大 地 简化 IT 管理 ， 
同时 通过 集成 技术 ， 也 可 以 实现 更 为 完美 、 便 捷 的 安全 管控 。 

Forefront TMG 就 是 统一 的 威胁 管理 网 关 , 顾名思义 TMG 所 提供 的 是 全 面 的 企业 网 络 
安全 防护 能 力 。 它 是 微软 具有 划时代 意义 的 企业 级 网 络 安全 产品 。 这 种 意义 主要 体现 在 以 
下 几 个 方面 。 

1. 企业 级 的 安全 整合 与 管理 


从 2006 年 开始 , 微软 把 主要 的 安全 产品 整合 在 一 个 产品 系列 Forefront 中 。 在 Forefront 
产品 系列 中 ，ISA 主要 负责 网 络 边缘 范围 的 安全 防范 与 保护 。 但 是 ， 和 其 他 防火 墙 产品 不 
同 ，ISA 不 仅仅 是 一 个 防火 墙 ， 而 是 通过 与 其 他 微软 产品 或 技术 (例如 活动 目录 ) 结 合 来 实 
现 完善 的 企业 安全 管理 与 控制 。 微 软 从 ISA( 互 联网 安全 与 加 速 ，Internet Security and 
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Acceleration) 变 更 到 TMG( 安 全 威胁 管理 网 关 ，Threat Management Gateway) 就 可 以 看 出 , 微 
软 不 仅仅 只 想 负责 网 络 边 缘 的 安全 与 防护 ， 而 是 想 实 现 统一 的 企业 安全 威胁 管理 ， 这 也 表 
现 出 了 微软 在 企业 安全 领域 的 决心 。 

TMG 是 作为 新 一 代 的 Forefront 产品 系列 Stirling 的 重要 组 成 部 分 , 完整 的 Stirling 套 
件 包 括 Forefront Protection Manager、 Forefront Endpoint Protection 2010、Forefront Protection 
2010 for Exchange/Sharepoint 和 Forefront TMG 这 五 个 独立 组 件 , 并 且 可 以 融合 其 他 的 一 些 
安全 产品 或 技术 , 例如 NAP 或 者 第 三 方 技 术 或 者 产品 等 等 .在 Forefront Stirling 产品 系列 中 ， 
其 中 一 个 最 为 重大 的 新 特性 就 是 基于 Forefront Stirling 的 Security Assessment Sharing(SAS) 
功能 ， 可 以 在 全 系列 的 Forefront Stirling 产品 中 进行 安全 评估 信息 的 共享 。 SAS 相当 于 在 
Stirling 各 个 组 件 之 间 构 建 了 一 个 信息 共享 的 通道 ,在 这 个 通道 中 ,所 有 组 件 共享 彼此 的 安 
全 评估 信息 ， 例 如 某 个 计算 机 是 否 有 中 病毒 的 嫌疑 ， 某 个 用 户 访问 是 否 是 恶意 访问 ， 并 且 
基于 这 个 安全 评估 信息 ， 执 行 特定 的 操作 。 这 样 带 来 的 好 处 就 是 Stirling 所 有 组 件 之 间 都 
是 协同 工作 的 ， 具 有 安全 联动 响应 的 特性 。 例 如 Forefront Endpoint Protection 发 现 计算 机 
中 毒 了 ， 那 么 这 个 安全 评估 信息 就 直接 通过 SAS 发 送 给 TMG 和 Protection for Exchange， 
TMG 就 可 以 直接 拒绝 来 自 该 计算 机 的 访问 ， 而 Protection for Exchange 就 可 以 扫描 该 计算 
机 上 当前 登录 用 户 的 邮箱 等 等 。 

另外 ,在 TMG 中 ,除了 一 贯 的 提供 对 于 活动 目录 的 支持 外 ，TMG 已 经 能 够 完美 的 和 
NAP 进行 集成 ， 实 现 完善 的 VPN 隔离 与 控制 。 

2. 架构 变更 与 提升 


由 于 ISA Server 2004/2006 的 性 能 基本 上 到 了 Windows Server 2003 的 极限 ， 因 此 ISA 
Server 2006 和 ISA Server 2004 相 比 ， 性 能 基本 没有 太 大 的 提升 。TMG 最 显著 的 特性 ， 就 
是 从 32 位 的 Windows Server 2003 架构 完美 地 迁移 到 64 位 的 Windows Server 2008/2008 R2 
的 架构 ， 也 不 再 提供 针对 Windows Server 2003 和 32 位 操作 系统 的 支持 。 


3. Web 非法 软件 扫描 与 过 滤 


经 过 微软 长 期 的 分 析 与 研究 ， 发 现在 非法 软件 如 病毒 、 蠕 虫 、 间 谍 软 件 等 的 传播 途径 
中 ， 基 于 Web 的 传播 方式 是 最 为 流行 、 也 最 为 广泛 的 一 种 。 因 此 作为 TMG 的 一 个 重要 创 
新 ,微软 新 增 了 针对 HTTP/HTTPS 传输 内 容 的 Web 非法 软件 扫描 功能 ， 以 及 针对 URL 地 
址 类 别 进 行 访问 控制 的 功能 。 

(1) HTT?P 非法 软件 扫描 

TMG 中 内 置 的 Web 非法 软件 扫描 引擎 为 新 一 代 的 Forefront Endpoint Protection 反 病 
毒 引 擎 ， 并 且 通 过 Microsoft Update 来 实现 特征 定义 的 更 新 。 在 Web 非法 软件 扫描 功能 配 
置 中 ， 可 以 配置 是 否 进行 Web 非法 软件 扫描 、 哪 些 站 点 不 进行 扫描 、 当 发 现 病毒 时 是 否 尝 
试 清除 病毒 、 当 处 理 时 间 超 过 多 少 就 拒绝 访问 、 当 压缩 文件 嵌 套 多 少 层 就 拒绝 访问 、 当 文 
件 大 小 超过 多 少 就 拒绝 访问 等 。 
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(2) HITPS 扫描 

HTTPS 是 加 密 的 HTTP 传输 ， 标 准 的 传输 端口 为 TCP 443。 由 于 HTTPS 加 密 传输 的 
特性 ， 传 输 内 容 不 可 知 ， 导 致 很 多 的 非法 软件 例如 木马 使 用 HTTPS 协议 来 进行 传输 ， 甚 
至 不 使 用 标准 的 HITPS 协议 , 仅 使 用 TCP 443 端口 来 进行 传输 , 这 样 看 起 来 就 像 是 HTTPS 
协议 传输 。 但 是 由 于 绝 大 部 分 防火 墙 包括 硬件 和 软件 缺乏 针对 HTTPS 传输 内 容 的 访问 控 
制 ， 因 此 只 能 开放 TCP 443， 导 致 企业 网 络 的 安全 性 得 不 到 有 效 的 保障 。 

在 Forefront TMG 中 ， 提 供 了 针对 HTTPS 传输 内 容 的 扫描 检查 功能 ， 因 此 可 以 阻止 
病毒 、 木 马 、 间 谍 软 件 等 非法 软件 通过 HTTPS 协议 来 实现 传播 ， 提 高 企业 网 络 的 整体 安 
全 性 。 

(3) URL 地 址 类 别 过 滤 

在 微软 内 部 ， 具 有 一 个 安全 服务 ， 叫 做 Microsoft Reputation Services。 这 个 MRS 服务 
实际 上 是 一 个 整合 了 来 自 大 量 合作 伙伴 所 提供 数据 的 数据 库 。 在 这 个 数据 库 中 存放 的 数据 
就 是 全 球 Web 站 点 的 相关 类 别 及 安全 评估 信息 , 例如 某 个 URL 地 址 是 否 是 一 个 恶意 站 点 ， 
以 及 这 个 URL 地 址 的 类 别 是 新 闻 站 点 、 体 育 站 点 还 是 娱乐 站 点 之 类 的 信息 。 

在 TMG 中 ， 就 可 以 基于 MRS 数据 库 的 分 类 ， 对 用 户 的 访问 行为 进行 控制 。 在 TMG 
中 包含 91 个 URL 地 址 类 别 ， 可 以 根据 需要 的 类 别 来 阻止 或 允许 用 户 访问 。 

4. 路 由 架构 改进 


在 TMG 中 ， 针 对 路 由 架构 和 底层 传输 同样 进行 了 大 规模 的 改进 ， 主 要 包括 ISP-R 传 
输 链 路 元 余 、 增 强 的 NAT 转换 、SIP 协议 支持 等 。 


5. 网 络 入 侵 保护 系统 


在 TMG 中 ,第 一 次 引入 了 微软 自行 研发 的 网 络 入 侵 保护 系统 (NIS)。 这 个 网 络 入 侵 保 
护 系统 是 真正 体现 微软 在 安全 方面 研发 实力 的 新 功能 ， 它 的 功能 主要 是 以 下 两 方面 : 第 一 
方面 , 根据 特定 的 网 络 数 据 包 特征 码 , 判定 网 络 入 侵 或 者 漏洞 注入 行为 并 进行 相应 的 阻止 ; 
第 二 方面 , 对 于 常见 的 协议 , 检查 协议 通信 是 否 符合 标准 。 例如, 虽然 端口 看 起 来 是 SMTP 
协议 所 使 用 的 25 端口 ， 但 是 实际 上 使 用 的 不 是 SMTP 协议 。 这 两 方面 结合 在 一 起 ， 加 上 
TMG 原 有 的 安全 访问 控制 功能 , 就 可 以 很 好 地 保障 网 络 通信 的 合法 性 和 安全 性 , 从 而 保护 
整体 企业 的 信息 安全 性 。 


6. 邮件 安全 传输 与 过 滤 


在 E-Mail 的 保护 方面 ， 目 前 TMG 可 以 和 Exchange 的 边缘 传输 服务 器 角色 、Forefront 
Protection for Exchange 集成 在 一 起 ， 实 现 安全 的 邮件 传输 与 过 滤 。 

7. 人 性 化 管理 与 集成 操作 

从 ISA Server 2004 开始 ，ISA Server 的 管理 界面 一 直 都 非常 友好 , 在 ISA 2006 中 , 针 


对 部 分 操作 又 进行 了 简化 ， 并 提供 了 大 量 的 配置 向 导 来 辅助 管理 操作 。 在 TMG 中 ， 针 对 
安装 配置 又 进行 了 更 为 人 性 化 的 配置 简化 。 当 安装 好 TMG 第 一 次 进入 TMG 管理 控制 台 时 ， 
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会 自动 调用 开始 配置 向 导 ， 从 而 协助 用 户 更 快 地 完成 TMG 的 配置 工作 。 


13.1.2 TMG 的 应 用 


Forefront TMG 是 一 个 高 级 状态 检测 以 及 应 用 层 检 测 防 火 墙 ,同时 还 包括 VPN 以 及 Web 
缓存 ， 使 用 户 能 够 最 大 化 利用 现 有 投资 ， 提 升 信息 安全 和 性 能 。 它 是 微软 安全 战略 架构 
Forefront 中 的 新 成 员 , 替换 原来 的 Microsoft Intemet Security and Acceleration(ISA), 成 为 下 

- 代 网 络 边缘 防护 产品 。 基 于 状态 检测 是 TMG 的 一 个 亮点 ， 由 此 Forefront 网 络 边 缘 防 护 
覆盖 了 OSI 七 层 模型 中 的 上 五 层 ， 即 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 、 应 用 层 ， 提 高 了 
网 络 安全 防护 的 严密 性 。 


13.1.3 ”安装 需求 


安装 ForeFront TMG 的 服务 器 计算 机 需 满足 以 下 要 求 : 

(1) 硬件 要 求 

CPU: 至 少 64 位 1.86 GHz 2 内 核 (1 CPU x 双核 ) 处 理 器 ; 

内 存 : 至 少 2GB、1 GHz RAM; 

硬盘 : 至 少 2.5GB， 不 含 Web 缓存 及 临时 文件 所 使 用 的 磁盘 空间 ， 缓 存 需要 存放 在 
NTFS 分 区 上 ; 

网 络 适 配器 : 至 少 两 块 网 卡 ，1 块 接 内 网 ，1 块 接 外 网 。 

(2) 软件 要 求 

操作 系统 为 Windows Server 2008 x64, 版 本 为 Standard、Enterprise 或 Datacenter 的 SP2 
或 R2。 

Windows 角色 和 功能 : 网 络 策略 服务 器 、 路 由 和 远程 访问 服务 、Active Directory 轻型 
目录 服务 工具 、 网 络 负载 平衡 工具 、Windows PowerShell。 

DNS 服务 器 : TMG 不 具备 转发 DNS 请 求 的 功能 ， 必 须 使 用 额外 的 DNS 服务 器 ， 或 
安装 DNS 服务 器 角色 。 如 果 内 部 网 络 中 具有 域 控制 器 ， 应 配置 使 用 域 控制 器 作为 TMG 的 
DNS 服务 器 ; 如 果 没 有 内 部 的 DNS 服务 器 ， 应 配置 使 用 ISP( 因 特 网 服务 提供 商 ， 如 联通 、 
电信 等 ) 的 DNS 服务 器 。 

安装 TMG 之 前 ， 需 要 在 服务 器 上 安装 Windows Server 2008 的 以 下 组 件 和 应 用 : 

® Network Policy Server 


Routing and Remote Access Services 


Active Directory Lightweight Directory Services Tools 
® Network Load Balancing Tools 

e Windows PowerShell 

Microsoft .NET Framework 3.5 SP1 
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® Windows Web Services API 

e Windows Update 

® Microsoft Windows Installer 4.5 

(3) 网 络 连 接 要 求 

在 安装 TMG 服务 器 以 前 ， 应 保证 TMG 服务 器 与 任何 一 个 连接 到 的 网 络 均 通 信和 正常 ， 
这 样 便于 故障 排 错 。 

(4) 域 成 员 关 系 

TMG 服务 器 可 以 位 于 工作 组 环境 或 者 域 环 境 。 无 论 是 在 安装 TMG 之 前 或 者 之 后 ， 
均 可 以 将 TMG 服务 器 加 入 域 或 者 退出 域 。 建 议 在 安装 TMG 之 前 进行 域 成 员 关 系 操作 。 


13.2 TMG 的 安装 与 配置 


本 书 中 采用 的 网 络 拓扑 架构 如 图 13-1 所 示 。 


Web/DNS 服 务 器 
125219.48 


wow test 有 划 Intemet 
ee 外 如 了 络 振 口 
ForeFront 125.219.48.9/24 
TMG 
得 和 i 2 204124 
起 


192. ey - Qj24 


四 


Clent DC 
192.168.89.10/24 192.168.89.1/24 


图 13-1 网 络 拓扑 架构 


ForeFront TMG 作为 企业 网 络 边缘 防火 墙 ， 连 接 内 部 和 外 部 网 络 。 在 外 部 网 络 中 有 一 
台 服 务 器 (125.219.48.8) 作 为 Web 服务 器 (http://www.test.com) 和 DNS 服务 器 。 各 计算 机 的 
TCP/IP 设置 如 下 : 

ForeFront TMG 主机 的 外 部 网 络 接口 : 

IP: 125.219.48.9/24 

GW: 125.219.48.1 
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DNS: 125.219.48.8 

ForeFront TMG 主机 的 内 部 网 络 接口 : 

IP: 192.168.89.204/24 

GW: None 

Web/DNS Server( 专 用 网 内 部 的 Web/DNS 服务 器 计算 机 ): 
IP: 125.219.48.8/24 

GW: 125.219.48.1 

DNS: 202.102.224.68 


Client( 专 用 网 内 部 的 客户 端 计算 机 ): 

IP: 192.168.89.10/24 

GW: 192.168.89.204 

DNS: 125.219.48.8 

DC( 专 用 网 内 部 的 域 控制 器 计算 机 ): 

IP: 192.168.89.1/24 

GW: 192.168.89.204 

DNS: 125.219.48.8 

参照 以 上 参数 ， 配 置 各 主机 和 网 卡 。 利 用 本 书 前 面 章节 的 活动 目录 的 相关 知识 ， 建 立 
DC 域 服 务 器 和 Web/DNS 服务 器 。 


13.2.1 安装 TMG 


安装 TMG 的 操作 步骤 如 下 : 

(1) 双击 Windows Server 2008 系统 光盘 根 目 录 下 的 autorun.exe 程序 ， 如 图 13-2 所 示 ， 
出 现 如 图 13-3 所 示 的 界面 。 

(2) 在 如 图 13-3 所 示 的 界面 中 ， 单 击 “ 运 行 准备 工具 ”来 运行 系统 准备 工具 ， 从 而 检 
查 安装 TMG 所 需要 的 系统 组 件 是 否 已 经 全 部 安装 完成 ， 如 果 没 有 安装 ， 则 自动 进行 安装 。 


as 
访 0 bemwp -Wierosoft Forefront TWG ~ EEC 


修改 日 期 类 型 
2011/3/21 11:32 文件 夹 
2011/3/21 11:32 文件 夹 
2011/3/21 11:33 文件 夹 
2009/11/8 16:02 ”HTL 应 用 程序 
2009/9/8 12:16 图 标 
2009/9/8 12:16 安装 信息 
2009/11/3 11:57 。 BTF 文档 
2009/11/8 16:02 HTEL 应 用 程序 


图 13-2 运行 安装 程序 
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图 13-3 运行 准备 工具 
(3) 在 如 图 13-4 所 示 的 界面 中 选择 安装 类 型 ， 然 后 单 击 “ 下 一 步 ”按钮 。 


安装 类 型 
选择 计算 机 的 Forefront TNG 支 半天 型 。 


13-4 选择 安装 类 型 


(4) 在 如 图 13-5 所 示 的 界面 中 选中 “启动 ForeFront 安装 向 导 ” 复 选 框 ， 单 击 “ 下 一 
步 ”按钮 。 


13-5 选中 “启动 ForeFront 安装 向 导 ” 复 选 框 
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(5) 在 如 图 13-6 所 示 的 界面 中 单 击 “ 下 一 步 ” 按 钮 。 


13-6 “ForeFront 安装 向 导 ” 启 动 


(6) 选择 接受 协议 许可 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 13-7 所 示 ， 输 入 客户 信息 和 产品 
序列 号 ， 然 后 单 击 “下 一 步 ” 按 钮 。 


图 13-7 输入 客户 信息 和 产品 序列 号 


(7) 在 如 图 13-8 所 示 的 界面 中 ， 选 择 TMG 的 安装 路 径 (TMG 只 可 安装 在 NTFS 分 区 
上 )， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 添 加 内 网 的 他 地 址 范围 。 

可 以 通过 网 络 适 配器 自动 添加 卫 地 址 范围 、 手 动 添加 卫 地 址 范围 或 者 添加 私有 卫 地 
址 范围 。 建 议 通 过 网 络 适配器 添加 卫 地 址 范围 。 


图 13-8 选择 TMG 的 安装 路 径 
(8) 如 图 13-9 所 示 的 界面 中 ， 依 次 单 击 “ 添 加 ”、“ 添 加 适配器 ”按钮 ， 选 中 用 来 连 
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接 内 网 的 TMG 服务 器 主机 的 网 卡 (如 LAN)， 单 击 “ 确 定 ”按钮 。 


图 13-9 选择 TMG 服务 器 主机 用 来 连接 内 网 的 网 卡 


(9) 如 图 13-10 所 示 ， 输 入 默认 的 内 部 网 络 的 他 地址 范围 ， 单 击 “ 下 一 步 ”按钮 。 


在 TMG 中 ， 默 认 的 内 部 网 络 成 为 TMG 进行 通信 的 可 信任 网 络 ，TMG 的 系统 策略 会 自动 
允许 TMG 和 默认 内 部 网 络 之 间 的 部 分 通信 。 


EDITEETTG 


请 对 
定义 内 请 9 络 
指定 ?erefront 787 内 入 村 络 中 要 电 托 的 地 机 范围 。 
音 古 “本 欢 ” 二 二 臣 江 08 址 芭 国 。 
内 部 同 线 地 元 园 愉 -30) 


82 100.09.0-192. 100.59.255 


tm) | -ym > 职 潮 
图 13-10 输入 内 网 的 他 范围 


(10) 接着 ， 向 导 提示 安装 的 过 程 中 有 哪些 服务 会 进行 重启 ， 如 图 13-11 所 示 ， 然 后 依 
次 单 击 “ 下 一 步 ”、“ 安 装 ” 按 钮 。 


在 安 兰 id 拯 中 ， 将 下 请 或 尖 用 在 此 计算 机 上 到 地 运行 的 基业 用 务 ” 


安 基 过 理 中 入 重 亲 局 0] 邓 生 
sm 


tr 
人 


实 半 过 中谷 年 的 名和 
中 由 要 沪 问 地 务 


nn | 
图 13-11 提示 安装 的 过 程 中 有 哪些 服务 会 进行 重启 
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(11) 按照 向 导 继续 安装 ， 安 装 完成 后 ， 如 图 13-12 所 示 ， 单 击 “完成 ”按钮 即 可 完成 
安装 。 


EECTEEEEGS | 


厅 向 居间 后 启动 rerefrent TIE 管理 
"9 


L329| 


图 13-12 安装 完成 


13.2.2 TMG 初始 化 配置 


Forefront TMG 的 配置 包括 网 络 设置 、 系 统 设置 和 部 署 选项 。 网 络 设置 的 任务 是 为 
Forefront TMG 定义 关于 网 络 配置 ， 如 下 地址 、 路 由 规则 和 网 络 关系 。 网 络 设置 的 任务 是 
为 Forefront TMG 定义 本 地 系统 资源 ,配置 部 署 选项 的 任务 是 确定 Forefront TMG 的 部 署 和 
运行 方式 ， 如 该 Forefront TMG 服务 器 以 什么 方式 接受 更 新 。 

1. 网 络 设置 

网 络 设置 的 配置 步骤 如 下 : 

(1) 从 “开始 ”菜单 启动 Forefront TMG， 进 入 如 图 13-13 所 示 的 设置 界面 ， 单 击 “ 配 
置 网 络 设置 ”， 在 出 现 的 “欢迎 使 用 网 络 设置 向 导 ” 界 面 ， 单 击 “ 下 一 步 ”按钮 ， 出 现 如 
图 13-14 所 示 的 “网 络 模板 选择 ”界面 。 


[A 和 DS | 
欧阳 使 用 Porefront Ta 
并， 请 省 下 个 上 各: 


A 机 act Thterne sicai yw Memer tio oa Server 2000 
二 ER 


关闭 中 


图 13-13 设置 Forefront TMG 
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C@) 根据 应 用 环境 选择 对 应 的 网 络 架构 模板 。 在 此 选择 “边缘 防火 墙 ? 模 板 , 如 图 13-14 
所 示 ， 单 击 “ 下 一 步 ” 按 钮 。 


6 天 所 X 填 四 Vr 


Ci 十 中 地 
个 单 网络 话 醒 受 G) 于 Hb 主刀 


| 
图 13-14 选择 网 络 模板 


(3) 选择 到 局 域 网 的 网 卡 (本 例 中 该 网 卡 的 下 地址 为 192.168.89.204), 并 且 可 以 单 击 “ 添 
加 ”按钮 ， 添 加 到 其 他 LAN 的 静态 路 由 ， 单 击 “ 下 一 步 ”按钮 ， 选 择 到 外 网 如 Internet 的 
网 卡 ， 本 例 中 该 网 卡 的 他 地 址 为 125.219.48.9， 单 击 “ 下 一 步 ”按钮 ， 在 如 图 13-15 所 示 
的 界面 中 单 击 “ 完 成 ”按钮 。 


正在 完成 网 络 安装 向 导 
人 了 网络 将 县 有 以 下 配 
pe ] 


i 


fa2. 168. 89. 204 
255. 255. 255.0 


证 服务 加 :182.188.609.202 下 
了 | 
要 关闭 此 向导 ,请 单机 “完成 ”* 


图 13-15 完成 网 络 设置 


2. 系统 设置 


系统 设置 的 操作 步骤 如 下 : 
(1) 在 如 图 13-16 所 示 的 界面 中 , 单 击 “ 配 置 系统 设置 ”, 在 打开 的 欢迎 界面 中 单 击 “ 下 
一 步 ” 按 钮 。 
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13-16 ”开始 配置 系统 设置 


(2) 在 “成 员 ” 区 域 中 选择 “Windows 域 ”， 然 后 单 击 “ 下 一 步 ”按钮 。 在 出 现 的 界 
面 中 单 击 “ 完 成 ”按钮 。 


3. 部 署 选项 


(1) 在 如 图 13-17 所 示 的 界面 中 ， 单 击 “ 定 义 部 署 选项 ”， 在 打开 的 欢迎 界面 中 单 击 
“下 一 步 ” 按 钮 。 


EBS ort Ty 
2 好， 基于 3 人 村- 


| 
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13-17 开始 配置 部 署 选 项 


(2) 在 如 图 13-18 所 示 的 界面 中 ， 根 据 需 要 选择 是 否 使 用 微软 软件 更 新 服务 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 。 


Ns it RSG $s 


7 ee eee 
BB KFA ett 和 dte SS 


和 i ee ee EE 


IT roset 天 一 Xi 斌 
Be ete ase DA 


aa | 
13-18 ”根据 需要 选择 是 否 使 用 微软 软件 更 新 服务 
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G) 在 如 图 13-19 所 示 的 界面 中 ， 根 据 需 要 选择 是 否 “ 启 用 恶意 软件 检查 ”， 然 后 连 
续 两 次 单 击 “ 下 一 步 ” 按 钮 。 


ns 
== FSFE 二 
了 

rs 训 涪 - 

ER Ea i ER 
5 ernie 

Tm 


0 


a 
13-19 ”根据 需要 选择 是 否 “ 启 用 恶意 软件 检查 ” 


(4) 在 如 图 13-20 所 示 的 界面 中 ， 根 据 需要 选择 微软 的 “客户 体验 改善 计划 ”， 然 后 
单 击 “ 下 一 步 ”按钮 。 


四 


客户 把 
白人 多加 悍 户 洗 妈 交 要 计划 ， 吉 区 近 T% 刘 训 产 品 9 再 显 、 司 事 性 和 性 驶 。 


2 em am 
多 理 息 造反 区 与 该 计划 ， 符 在 ?orstront TW5 本 二 机 网 结 上 启用 Ye 代理 窜 户 诡 克 可 
se 项 要 更 效 你 9 这 择 ， 请 条 开放 列 网 性， 如 后 好 改 “次 户 区 
这 此 浓 息 不 生 浊 于 识 到 人 约 身份 各 与 人 联系 。 

了 

个 是， 和 敌意 攻 名 头 加 此 窑 户 休 巡 履 徊 计 基 扶 宕 ] 07。 


个 否 , 扩大 意志 加 中 ) 


| 
图 13-20 根据 需要 选择 微软 的 “客户 体验 改善 计划 ” 


(5) 在 如 图 13-21 所 示 的 界面 中 ， 根 据 需 要 选择 是 否 参与 或 参与 微软 回收 反馈 消息 的 
方式 ， 然 后 单 击 “ 下 一 步 ”按钮 。 


13-21 根据 需要 选择 是 否 参与 或 参与 微软 回收 反馈 消息 的 方式 
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(6) 在 如 图 13-22 所 示 的 界面 中 ， 单 击 “ 完 成 ”按钮 。 


入 门 - 部 署 向 导 | 
正在 完成 部 署 向 导 


您 已 经 成 功 完成 部 署 向 导 。 将 应 用 以 下 设置 


re a 和 
保护 


1 ee 


<tsw[ |] mw | 
图 13-22 完成 部 署 选项 的 配置 
3 种 配置 都 结束 后 ， 在 如 图 13-23 所 示 的 界面 中 单 击 “ 关 闭 ”按钮 ， 打 开 Web 访问 策 
略 配置 向 导 。 


I x 
2 用 oeront TI 
让 风 名 


“| a 后 二 设 轨 、 弟 由 


RR 
图 13-23 完成 配置 任务 


13.2.3 创建 访问 策略 

TMG 2010 安装 好 后 ， 默 认 规则 是 阻止 所 有 网 络 通信 的 ， 客 户 端 甚至 连 TMG 服务 器 
都 连接 不 上 ， 所 以 必须 建立 访问 策略 。 

1. 创建 Web 访问 策略 


步骤 如 下 : 
(1) 在 如 图 13-24 所 示 的 界面 中 ， 单 击 “ 下 一 步 ”按钮 ， 选 中 “是 ， 创 建 规则 来 阻止 
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推荐 的 最 少 URL 类 别 ” 单 选 按钮 ， 如 图 13-25 所 示 ， 单 击 “ 下 一 步 ” 按 钮 。 
EFT 划 本 


欢迎 使 用 Wecb 访问 第 路 向 导 


Nn cB. FN 


4s EE 
要 请 单 击 "下 一 步 ”。 


| 
图 13-24 Web 访问 策略 配置 向 导 图 13-25 选择 创建 规则 


(2) 如 图 13-26 所 示 ， 配 置 将 被 策略 阻止 的 目标 Web 网 站 列表 ， 即 配置 黑 网 站 名 单 。 
在 TMG 中 有 系统 自 带 的 一 些 列表 ， 这 些 可 以 直接 使 用 ， 也 可 以 单 击 “ 添 加 ”按钮 ， 添 加 
其 他 的 关键 词 。 出 现在 列表 中 的 关键 词 只 要 存在 于 Web 网 站 , 该 网 站 将 成 为 策略 阻止 内 网 
用 户 访问 的 对 象 。 单 击 “ 下 一 步 ” 按 钮 。 


un | 
图 13-26 配置 将 被 策略 阻止 的 目标 Web 网 站 列表 


G) 如 图 13-27 所 示 ， 配 置 不 被 策略 阻止 的 内 网 用 户 列表 ， 即 配置 用 户 白 名 单 ， 单 击 
“添加 ”按钮 ， 添 加 有 权 访 问 外 网 中 任何 Web 网 站 的 用 户 帐号 ， 单 击 “ 下 一 步 ”按钮 。 


| 
者 目的 wak 目标 例外 
其 证 六 让 访 目的 rs 昌吉 用户 
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图 13-27 配置 不 被 策略 阻止 的 内 网 用 户 列表 ( 即 用 户 白 名 单 ) 
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(4) 如 图 13-28 所 示 ， 选 中 “是 ， 检 查 从 Internet 请 求 的 Web 内 容 ” 单 选 按钮 ， 根 据 
需要 选择 下 方 的 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 
| 


恶意 软件 检查 设置 _ 
En 将 扫描 从 Internet 请 求 的 NTTF 内 容 是 否 有 恶意 软件 ， 如 


是 否 要 将 恶意 软件 检查 应 用 于 由 Yeb 访问 第 辐 向 导 创建 的 规则 ? 


个 否 , 不 检查 从 Tnternst 请 求 的 Wsb 内容 0T) 
是， 检查 从 Internet 请 求 的 Web 内 容 们 ) 
加 mn .zip 文件 )， 此 类 文件 可 能 会 也 合 能 够 绕 过 防 病毒 签名 的 加 密 病 


0 要 对 其 他 规则 应 用 恶意 软件 检查 ， 必 须 在 规则 属性 中 启用 此 功能 。 


mk | 
图 13-28 选择 “是 ， 检 查 从 Intemet 请 求 的 Web 内 容 ” 


(5) 如 图 13-29 所 示 ， 选 中 “允许 用 户 与 网 站 建立 HITPS 连接 ” 单 选 按钮 ， 单 击 “ 下 
EE 


JITTPS 检查 设置 
Forefront TWG 可 扫描 HTTFS 通讯 ， 并 阻止 不 符合 策略 和 稍 选 器 的 内 容 * 


他 允许 用 户 与 网 站 建立 HTTPS 连接 00 
个 检查 MTTPS 通讯 ， 且 验证 HTTPS 站 点 证 书 G) 
个 不 检查 )TTPS 通讯 ， 但 验证 TTPS 站 点 证 书 。 如 果 证 书 无 效 ， 刚 阻止 HTTPS 通讯 V)。 
人 不 检查 ITFS 通讯 ， 且 不 验证 JITES 站 点 证 书 。 人 允许 所 有 NTTPS 通讯 00。 

个 不 允许 用 户 建立 )TTPS 连接 0) 


全 启用 HTTPS 检查 可 能 会 奉 涉 到 法 律 问题 。 应 确认 采用 此 保护 措施 是 否 符 合 公司 政策 。 
EE 
关于 NIIPS 检查 的 帮助 


sm [FB] 


图 13-29 ”选中 “人 允许 用 户 与 网 站 建立 HTTPS 连接 ” 单 选 按钮 


(6) 在 如 图 13-30 所 示 的 Web 缓存 配置 界面 ， 如 果 想 将 内 网 用 户 频繁 访问 的 网 页 放 到 
缓存 中 以 加 快 其 访问 速度 ， 可 以 选中 “启用 默认 Web 缓存 规则 ” 复 选 框 ， 单 击 “ 缓 存 驱 动 
器 ”按钮 ， 选 择 缓存 空间 所 在 的 驱动 器 和 容量 , 然后 依次 单 击 “ 确 定 ”、“ 下 一 步 ”、“ 完 
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~ EEE | 


本 。 reh 交友 权 置 
四 醒 寺 了 短 在 后， 频繁 访 问 的 Web 向 容 将 存 结存 稀 存 中 。 
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克 启用 时 认 Yeb 迁 存 规 中 民 ) 


配置 用 于 Web 缓存 的 组 反 驱动 器 下 ); 


四 | gpg 
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Es 
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mrs se00t 22100 

于 ms ls m3 -2008 
最 大 绥 存 大 小 0 0 Fe 

夏 位 四) 

Ts 驱动 器 上 与 3 本 宇 间 0m) 190904 
当前 总 的 手 存 大 小 8); 2048 


图 13-30 配置 Web 缓存 


生效 。 
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13-31 启用 设置 
2. 建立 内 网 互 访 策略 
步骤 如 下 : 
(1) 在 如 图 13-31 所 示 的 界面 中 右 击 “防火 墙 策略 ”， 如 图 13-32 所 示 ， 


”Ie 


从 “开始 ”菜单 中 启动 Forefront TMG， 如 图 13-31 所 示 ， 单 击 “ 应 用 ”按钮 使 设置 


在 弹出 的 快捷 
菜单 中 选择 “新 建 ” 一 “访问 规则 ”命令 。 
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司 Wiaesee Foreteont Test ma Ss we 
三 二 Ice PE Cessznmn > Forefront 
ER Threat Management Gateway zio 
ER 


图 13-32 新 建 访问 规则 


(2) 如 图 13-33 所 示 ， 输 入 访问 规则 名 称 ， 单 击 “ 下 一 步 ” 按 钮 。 


ED 


欢迎 使 用 新 建 访问 规则 向 导 


Ne 


要 继续 ,请 单 击 “下 一 步 ”。 
EE 让 取消 
13-33 ”输入 访问 规则 名 称 
(3) 如 图 13-34 所 示 ， 选 中 “人 允许 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


EFTTELEE N: 


he 用 于 处 理 客户 端 从 指定 目标 请 : 
式 。 


件 时 要 所 行 的 操作 : 


图 13-34 选中 “允许 ” 单 选 按钮 


(4) 如 图 13-35 所 示 ， 选 择 将 此 规则 应 用 到 “所 有 出 站 通讯 ”， 然 后 单 击 “ 下 一 步 ” 
按钮 。 


lx 


协议 
请 选择 此 规 风 要 应 用 到 协议 * 


应 用 到 品 ) 


图 13-35 选择 “所 有 出 站 通讯 ” 
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(5) 如 图 13-36 所 示 ， 选 中 “对 该 规则 启用 恶意 软件 检查 ” 单 选 按钮 ， 然 后 单 击 “下 
一 步 ” 技 乌 。 


图 13-36 ”对 新 建 的 规则 启用 恶意 软件 检查 


(6) 如 图 13-37 所 示 ， 添 加 本 地 主机 ( 即 Forefront TMG 主机 ) 和 Forefront TMG 主机 连 
接 内 网 的 网 卡 (本 例 中 该 网 卡 的 下 地 址 为 : 192.168.89.204)， 单 击 “ 下 一 步 ” 按 钮 。 


dl 


QQ 
ETTEEET3 四 


访问 规则 源 
此 规则 将 应 用 于 来 自 比 页 指定 理 的 甬 讯 * 


图 13-37 添加 Forefront TMG 主机 及 其 连接 内 网 的 网 卡 


(7) 如 图 13-38 所 示 ， 添 加 新 建 的 规则 针对 的 用 户 集 ， 然 后 单 击 “ 下 一 步 ”按钮 。 


EFT 


图 13-38 添加 新 建 的 规则 针对 的 用 户 集 


(8) 在 如 图 13-39 所 示 的 界面 中 ， 单 击 “ 完 成 ”按钮 。 


正在 完成 新 建 访问 规则 向 导 


让 计 7 访问 规 刚 向 导 ， 新 访问 需 刚 的 


A a 
A i 
nr 

se 

， el 


要 关闭 问 导 ,请 单 击 “ 完 或 ”。 


一 | 
13-39 ”完成 内 网 互 访 策略 中 相关 规则 的 建立 
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如 图 13-31 所 示 ， 单 击 “应 用 ”按钮 使 设置 生效 。 
3. 允许 内 网 访问 外 网 策略 


步骤 如 下 : 
(D 在 如 图 13-32 所 示 的 窗口 中 右 击 “Web 访问 策略 ”， 从 弹出 的 快捷 菜单 中 选择 “新 
建 ” 一 “访问 规则 ”命令 。 输 入 访问 规则 名 称 及 相关 信息 ， 如 图 13-40 所 示 ， 然 后 切换 至 


“操作 ”选项 卡 。 


t 许 所 有 用 户 访问 Yeb 民 性 


图 13-40 输入 访问 规则 名 称 及 相关 信息 


(2) 如 图 13-41 所 示 ， 选 中 “人 允许” 单 选 按钮 。 


图 13-41 选中 “允许” 单 选 按钮 


G) 打开 “协议 ”选项 卡 ， 如 图 13-42 所 示 ， 在 “此 规则 应 用 到 ”选项 下 ， 选 择 “ 所 
选 的 协议 ”， 可 以 添加 、 删 除 或 编辑 协议 列表 中 的 网 络 协议 。 
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请 口中 
新 并 四 

en 
图 13-42 配置 新 建 的 规则 针对 的 协议 


(4) 打开 “从 ”选项 卡 ， 如 图 13-43 所 示 ， 添 加 应 用 了 协议 列表 中 协议 的 源 主机 ， 
般 包括 本 地 主机 ( 即 Forefront TMG 主机 ) 和 Forefront TMG 主机 连接 内 网 的 网 卡 (本 例 中 该 网 
上 的 瑟 地 址 为 : 192.168.89.204)。 


FEEITTTTTCTE3 [a 
NP | 计 | 5 | 


CD oa 
图 13-43 添加 应 用 了 协议 列表 中 协议 的 源 主机 


(5) 打开 “到 ”选项 卡 ， 如 图 13-44 所 示 ， 添 加 应 用 了 协议 列表 中 协议 的 目标 网 站 。 
到 


用 户 。 | 计划。 | 庙 磋 型 | 到 电 ff& 
坟 | 拟人 | 协议。 | 从 到 
村 人 吾 读 


可 ES 
RE 
WT 


Ex 
Ee 
FT 


厂 对 于 呈 寡 站 应 限 于 关 主 要 夫 到 加 


CJj_ ET 
13-44 ”添加 应 用 了 协议 列表 中 协议 的 目标 网 站 
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(6) 打开 “ 亚 


(7) 打开 “内 容 类 型 ”选项 卡 ， 如 图 13-46 所 示 ， 选 择 目标 网 站 提供 的 部 分 文档 类 型 
或 “所 有 内 容 类 型 ”。 
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恶意 软件 检查 ”选项 卡 ， 如 图 13-45 所 示 ， 选 中 前 两 个 复 选 框 。 
习 


a | FF | 吉 这 | 从 1 到 1 
RE 户 | 天 | Ps BH 
Ut 的 HTTP 内 可 的 要 让 罗 件 检 宇 设 和 

本 性 可 从 We 服务 二 开放 六 站 序 O) 

7 名 +3 闪光 未 狗 队 JOY 范 轩 大 0] 

厂 请 提 8 和 富 再 生生 刘 斩 件 梳 酝 6G) 


CE ww | ssw | 


图 13-45 ”选中 前 两 个 复 选 框 


多 主 所 有 用 户 访问 Teh 属性 x 


Ce ] 出 EzLY 


13-46 选择 目标 网 站 提供 的 部 分 文档 类 型 或 “所 有 内 容 类 型 ” 
(8) 打开 “计划 ”选项 卡 ， 如 图 13-47 所 示 ， 设 置 规则 生效 的 时 间 段 ( 即 允 许 内 网 用 户 


访问 外 网 的 时 间 段 ) 或 在 “计划 ”选项 右 侧 选择 “总 是 ”。 


允许 所 有 用 户 访 问 xeb 民 性 让 


草皮 | 拉 作 | 协议 | 从 | 到 
月 户 计划 | 和 内容 J | 。 玫 意 软 并 性 相 


ER it) 


一 记 


Ce « 
DEE 
| Ll Tart 
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证 了 | _ 庙 WW 
图 13-47 设置 规则 生效 的 时 间 段 
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(9) 打开 “用 户 ” 选 项 卡 ， 如 图 13-48 所 示 ， 设 置 规则 针对 哪些 用 户 ， 单 各 
添加 用 户 帐号 ， 单 击 “ 确 定 ” 按 钮 。 


“添加 ” 


Et 


x 
常规 | 操作 | 协议 | 从 | 到 
用 户 | i 则 | 内 Ss | 
此 规则 应 用 于 来 自 下 列 用 户 集 的 请 求 : 
名 所 有 用 户 添加 0m)... 


图 13-48 设置 规则 针对 的 用 户 集 


如 图 13-31 所 示 ， 单 击 “ 应 用 ”按钮 使 设置 生效 。 

4. 允许 外 部 远程 连接 策略 

该 策略 允许 经 过 VPN、 通过 外 网 的 远程 桌面 或 Radmin( 远 程控 制 软件 ) 连 接 到 内 网 。 除 
了 配置 访问 方向 相反 外 ， 其 余 的 配置 方法 类 似 于 “允许 内 网 访问 外 网 策略 ”。 

如 图 13-31 所 示 ， 最 后 单 击 “ 应 用 ”按钮 使 设置 生效 即 可 。 


13.3 设置 客户 端 代 理 上 网 


如 果 客 户 端 主机 需要 以 Forefront TMG 主机 为 中 介 访 问 外 网 ， 需 要 将 Forefront TMG 
主机 配置 为 代理 服务 器 ， 简 单 的 方法 是 将 客户 端 主机 的 客户 端 软件 (本 书 以 正 为 例 ) 网 关 更 
改 为 Forefront TMG 主机 连接 内 网 的 网 卡 人 P 地 址 (192.168.89.204)。 

具体 步骤 如 下 : 

打开 正 浏览 器 ， 依 次 选择 “工具 ”一 “Intemet 选项 ”一 “连接 ”， 如 图 13-49 所 示 ， 
单 击 “ 局 域 网 设置 ?按钮 ,选择 “为 LAN 使 用 代理 服务 器 ”设置 代理 服务 器 IP(192.168.89.204) 
和 端口 号 (8080)。 
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放置 一 个 Tternet 连接 ， 音译 
唱 如 


搂 号 和 虚拟 专用 网 络 计 置 


二 为 LM 使用 代理 服务 器 这些 设置 直 滑 


地 址 加 :192 163 隐 20 议 D 四， 时 
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图 13-49 将 Forefront TMG 主机 配置 为 代理 服务 器 


此 时 ， 客 户 端 主机 上 的 正 浏览 器 就 可 以 浏览 外 网 的 网 页 了 。 


13.4 本 章 小 结 


本 章 介绍 了 Windows Server 2008 代理 服务 器 的 安装 、 配 置 和 客户 端的 配置 。 代 理 服务 
器 充分 利用 局 域 网 出 口 的 有 限 带宽 , 加 快 内 网 用 户 的 访问 速度 ,可 以 解决 瑟 地 址 资源 不 足 
的 问题 ， 带 动 局 域 网 很 多 用 户 上 网 的 功能 ， 同 时 代理 服务 器 还 可 以 作为 一 个 防火 墙 ， 隔 离 
内 网 与 外 网 ， 并 且 能 提供 监控 网 络 和 记录 传输 信息 的 功能 ， 加 强 了 局 域 网 的 安全 性 ， 又 便 
于 对 上 网 用 户 进行 管理 。 


13.5 思考 与 练习 


【思考 题 】 
1. 什么 是 代理 服务 器 ? 
2. Windows Server 2008 代理 服务 器 的 配置 步骤 有 哪些 ? 


【练习 题 】 
配置 Windows Server 2008 代理 服务 器 (参考 13.2 节 )。 
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【本 章 导 读 】 
Windows Server 2008 是 目前 微软 公司 最 安全 的 操作 系统 , 但 是 任何 操作 系统 都 不 可 能 
是 完美 无 缺 的 ， 同 时 黑客 技术 也 在 不 断 进步 ， 这 就 使 得 系统 在 使 用 过 程 中 受到 攻击 的 可 能 
性 越 来 越 大 ; 另外 ， 微 软 公司 为 保证 系统 的 易 用 性 ， 将 部 分 安全 功能 设置 为 关闭 或 者 没有 
安装 某 些 功能 ， 因 此 需要 管理 员 根 据 自己 所 处 的 网 络 环境 做 出 相应 的 设置 。 


14.1 ”系统 更 新 配置 


任何 一 个 操作 系统 面市 后 ， 随 着 时 间 的 推移 ， 会 有 越 来 越 多 的 缺陷 和 漏洞 被 发 现 ， 如 
果 管 理 员 不 能 及 时 修复 这 些 漏洞 ， 系 统 就 会 增加 被 攻击 的 可 能 ， 影 响 系统 的 安全 性 。 操 作 
系统 比较 危险 的 漏洞 有 以 下 3 种 : 
。 0day 漏洞 。 这 种 漏洞 由 个 人 或 某 些 计算 机 安全 组 织 发 现 ， 目 前 没有 对 外 公布 ， 微 
软 公 司 也 没有 提供 针对 该 漏洞 的 解决 方案 ， 最 容易 导致 操作 系统 被 攻击 。 
。 1day 漏洞 。 这 种 漏洞 一 般 由 微软 官方 公布 ， 并 提供 了 解决 方案 ， 但 在 公布 当天 许 
多 管理 员 还 没有 获得 更 新 消息 ， 攻 击 者 仍 能 利用 这 种 漏洞 进行 攻击 。 
。 陈旧 漏洞 。 这 种 情况 一 般 是 由 于 系统 管理 员 疏 于 管理 , 在 较 长 时 间 内 没有 为 操作 系 
统 安装 系统 更 新 补丁 ， 导 致 系统 容易 被 攻击 。 
微软 公司 为 了 提高 操作 系统 的 安全 性 ， 在 发 现 漏洞 后 可 以 在 最 短 时 间 内 提供 解决 方 
案 ， 即 安全 更 新 程序 ， 也 称 为 安全 补丁 ， 管 理 员 从 微软 官方 网 站 下 载 或 通过 系统 更 新 程序 
下 载 后 安装 即 可 。 
分 析 上 面 的 3 种 漏洞 ，0day 漏洞 危害 最 大 ， 根 本 不 能 防范 ， 但 0day 漏洞 往往 由 少数 
人 发 现 并 掌握 ， 而 且 一 旦 采用 这 种 漏洞 进行 攻击 ， 会 很 快 被 微软 公司 获取 相关 信息 ， 并 为 
管理 员 提 供 安全 更 新 程序 以 修复 该 漏洞 , 因此 就 算 0day 漏洞 危害 性 最 大 , 但 是 危害 面 一 般 
会 很 大 。1day 漏洞 是 最 常 被 攻击 者 利用 ， 和 危害 也 较 大 ， 但 此 时 微软 公司 已 经 提供 了 安全 
更 新 程序 ， 因 此 1day 漏洞 危害 时 间 都 比较 短 。 第 三 种 情况 对 疏 于 管理 的 服务 器 危害 最 大 ， 
却 是 最 容易 避免 的 。 
根据 以 上 分 析 ， 管 理 员 可 以 及 时 安装 微软 公司 发 布 的 安全 更 新 程序 来 将 漏洞 带 来 的 危 
害 降 到 最 低 。 
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14.1.1 手动 更 新 的 配置 


管理 员 可 根据 需要 随时 查看 微软 公司 是 否 发 布 新 的 安全 更 新 程序 ， 具 体操 作 方 法 
如 下 : 

(D 依次 选择 “开始 ”一 “控制 面板 ”命令 ， 打 开 控制 面板 ， 双 击 Windows Update 图 
标 ， 打 开 Windows Update 界面 ， 如 图 14-1 所 示 。 
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图 14-1 Windows Update 界面 


(2) 单 击 “检查 更 新 ”按钮 ， 如 果 此 时 服务 器 和 Internet 相连 接 ， 即 可 连接 到 微软 官方 
网 站 查找 安全 更 新 程序 ， 如 图 14-2 所 示 。 
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(3) 如 果 有 可 用 更 新 ， 根 据 提示 进行 下 载 更 新 即 可 ， 如 图 14-3 所 示 。 


OE 
OO FR whe -而 [sr 
文件 Ci 编 维 ) 二 看 NW 工具 者 鳃 00 
多 4 更 inders mnte 
和 
莹 章 惠 如 历史 记录 
gr 四 ea .st 坏 重 要 更 新 ，z70.3 四 
i 1 个 可 给 新 司 用 | 人 
SEO |] 
县 近 检 查 重 洒 B 间 。 今天 43 
人 
二 ST icorss 


各 人 上 sth 产品 更新 王 拉 下 和 人 生 


14-3 ”Windows Update 安装 更 新 界面 


第 14 章 ， 系 统 安全 防护 “373。 


如 果 要 进行 手动 跟 新 ， 单 击 “安装 更 新 ”按钮 即 可 。 
14.1.2 安全 补丁 的 自动 更 新 


上 述 方法 只 能 实现 手动 更 新 ， 自 动 化 程度 不 高 。 可 以 说 ， 系 统 的 安全 性 直接 取决 于 管 
理 员 更 新 系统 的 频率 ， 这 样 就 大 大 增加 了 安全 隐患 。Windows Server 2008 还 提供 了 自动 更 
新 ， 设 置 方法 如 下 : 

(D 打开 Windows Update 界面 ， 单 击 左 侧 的 “更 改 设置 ”， 打 开 自 动 更 新 配置 界面 ， 
默认 设置 为 “自动 安装 更 新 (推荐 )”， 管 理 员 可 在 下 面 “ 安 装 新 的 更 新 ”中 设置 检查 并 安 
装 安全 更 新 程序 的 频率 和 时 间 。 此 时 系统 将 按照 设置 好 的 频率 和 时 间 下 载 更 新 程序 并 自动 
安装 ， 也 可 以 展开 下 拉 菜 单 ， 选 择 其 他 选项 ， 如 图 14-4 所 示 。 
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(2) 菜单 中 各 选项 的 含义 分 别 如 下 。 

e “下 载 更 新 ， 但 让 我 选择 是 否 安装 更 新 ”: 仅 下 载 更 新 程序 ， 然 后 发 出 通知 由 管理 
员 决 定 什么 时 候 安装 这 些 更 新 程序 。 

e “检查 更 新 ， 但 是 让 我 选择 是 否 下 载 和 安装 更 新 ”: 仅 检 测 是 否 有 可 用 更 新 ， 并 以 
列表 形式 通知 管理 员 ， 由 管理 员 决 定 下 载 和 安装 哪些 更 新 程序 。 

。 “从 不 检查 更 新 (不 推荐 )”: 关闭 自动 更 新 ， 此 时 只 能 使 用 手动 更 新 的 方式 。 

(3) 其 他 选项 的 含义 分 别 如 下 。 

。 “推荐 更 新 ”: 推荐 更 新 一 般 不 是 安全 更 新 ， 与 系统 安全 性 关系 不 大 ， 但 可 以 修复 
应 用 程序 错误 和 提高 系统 性 能 。 建 议 选 中 “以 接收 重要 更 新 的 相同 方式 为 我 提供 推 
荐 的 更 新 ”。 

。 “ 谁 可 以 安装 更 新 ”: 分 配 安装 更 新 程序 的 权力 ， 对 于 服务 器 ， 不 建议 选择 “人 允许 
所 有 用 户 在 此 计算 机 上 安装 更 新 ”。 

(4) 配置 完成 后 ， 单 击 “确定 ”按钮 即 可 。 
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14.2 ”防火 墙 配置 


在 第 1 章 中 已 经 介绍 了 Windows Server 2008 的 基本 防火 墙 的 使 用 和 配置 方法 ,但 这 只 

能 在 一 般 情况 下 使 用 。 虽然 Windows Server 2008 的 基本 防火 墙 安全 性 并 不 差 , 但 是 可 设置 

选项 少 ， 功 能 也 较 少 。 而 在 服务 器 的 使 用 过 程 中 ， 对 安全 性 的 要 求 要 高 于 普通 用 户 ， 因 此 

微软 公司 开发 了 高 级 安全 Windows 防火 墙 ， 并 在 Windows Vista、Windows 7 和 Windows 

Server 2008 上 配备 。 高 级 安全 Windows 防火 墙 与 标准 Windows 防火 墙 相 比 ， 其 安全 防护 
能 力 更 强 ， 具 有 以 下 特点 : 

e 高 级 安全 Windows 防火 墙 是 双向 防火 墙 ， 它 不 仅 可 以 监视 、 设 置 甚至 屏蔽 所 有 的 

入 站 连接 请 求 (默认 设置 为 禁止 )， 也 可 以 对 所 有 的 出 站 连接 请 求 进行 更 细致 的 设置 


(默认 设置 为 允许 )。 
e 高 级 安全 Windows 防火 墙 是 一 种 基于 规则 的 状态 防火 墙 , 支持 Pv4 与 Pv6, 远 比 
应 用 层级 的 边界 防火 墙 更 为 安全 。 


e 高 级 安全 Windows 防火 墙 结合 了 主机 防火 墙 和 卫 Sec, 而 在 Windows XP/2003 系统 
中 ，Windows 防火 墙 与 IPSec 是 分 离 的 。 
本 节 介 绍 微软 的 高 级 防火 墙 的 配置 方法 ， 操 作 方法 如 下 : 
(1) 以 管理 员 帐 户 登录 Windows Server 2008 系统 后 ,选择 “开始 ”一 “管理 工具 ”一 “高 
级 安全 Windows 防火 墙 ” 命令， 打开 “高 级 安全 Windows 防火 墙 ” 窗 口 ， 如 图 14-5 所 示 。 
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图 14-5 “高 级 安全 Windows 防火 墙 ”窗口 


其 中 包括 入 站 规则 、 出 站 规则 和 连接 安全 规则 3 种 规则 。 如 果 安 装 Active Directory 服 
务 ， 还 会 增加 13 条 相应 的 安全 规则 。 

e 入 站 规则 。 入 站 规则 明确 允许 或 者 明确 阻止 与 规则 条 件 匹配 的 通信 。 例 如 ， 可 以 将 
规则 配置 为 明确 允许 受 人 PSec 保护 的 远程 桌面 通信 道 过 防火 增 ， 但 阻止 不 受 IPSec 
保护 的 远程 桌面 通信 。 默 认 情况 下 将 阻止 入 站 通信 ， 若 要 允许 通信 ， 必 须 先 创建 相 
应 的 入 站 规则 。 在 没有 适用 的 入 站 规则 的 情况 下 ， 也 可 以 对 具有 高 级 安全 性 的 
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Windows 防火 墙 所 执行 的 操作 (无 论 允 许 还 是 阻止 连接 ) 进 行 配置 。 
出 站 规则 。 出 站 规则 明确 允许 或 者 明确 拒绝 来 自 与 规则 条 件 匹 配 的 计算 机 的 通信 。 
例如 ,可 以 将 规则 配置 为 明确 阻止 出 站 通信 通过 防火 墙 到 达 某 一 台 计 算 机 , 但 允许 
同样 的 通信 到 达 其 他 计算 机 。 默认 情况 下 允许 出 站 通信 ,因此 必须 创建 出 站 规则 来 
阻止 通信 。 

e 连接 安全 规则 。 包 括 “ 人 允许 连接 规则 ”、“ 拒 绝 连接 规则 ”， 用 于 允许 或 拒绝 远程 

用 户 连接 到 Windows Server 2008， 强 化 主机 安全 。 

入 站 规则 、 出 站 规则 负责 如 何 处 理 传 入 和 传 出 的 请 求 。 在 默认 情况 下 ， 管 理 员 在 服务 
器 上 安装 的 是 微软 公司 提供 的 网 络 服务 ， 则 防火 墙 会 自动 添加 相应 的 规则 ， 不 需要 人 工 干 
预 。 如 果 安 装 的 是 其 他 组 织 提 供 的 网 络 服务 或 应 用 程序 ， 则 需要 管理 员 根据 服务 访问 网 络 
的 需要 添加 相应 的 出 站 规则 和 入 站 规则 。 

管理 员 可 以 通过 两 种 方式 启用 或 禁用 防火 墙 规则 : windows 防火 墙 控制 台 和 netsh 命 
令 。 在 高 级 安全 Windows 防火 墙 控制 人 台中， 首先 选择 “入 站 规则 ”或 “出 站 规则 ”， 然 后 
右 击 相应 规则 ， 从 弹出 的 快捷 菜单 中 选择 “禁用 规则 ”或 者 “启用 规则 ”命令 ， 即 可 更 改 
其 运行 状态 。 使 用 netsh 命令 启用 或 禁用 单一 规则 以 及 规则 组 ， 用 法 如 下 。 

e 启用 /禁用 单个 规则 : netsh advfirewall firewall set rule name="Rule" new enable=yes | no 

e 启用 /禁用 规则 组 : netsh advfirewall firewall set rule name="RuleGroup" new 

enable=yes | no 

例如 ， 使 用 如 下 命令 可 以 启用 “BITS 对 等 缓存 (RPC)” 规 则 (默认 情况 是 禁用 的 ): 

netsh advfirewall firewall set rule name= "BITS Peercaching (RPC) " new enable=yes 

使 用 如 下 命令 可 以 启用 “BITS 对 等 缓存 ”规则 组 (默认 情况 是 禁用 的 ): 

netsh advfirewall firewall set rule group="BITS peercaching" new enable=yes 

(2) 在 Windows 防火 墙 控 制 面板 中 , 右 击 “ 入 站 规则 ”, 从 弹出 的 快捷 菜单 中 选择 “新 
规则 ”命令 ， 打 开 “ 新 建 入 站 规则 向 导 ”， 如 图 14-6 所 示 。 
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图 14-6 “新 建 入 站 规则 向 导 ” 的 “规则 类 型 ”选择 界面 
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与 普通 Windows 防火 墙 类 似 ， 该 向 导 也 提供 了 程序 、 端 口 等 多 种 选项 ， 本 例 选 中 “ 端 
口 ” 单 选 按 钮 。 
G) 单 击 “ 下 一 步 ”按钮 ， 进 入 “协议 和 端口 ”界面 ， 如 图 14-7 所 示 。 


14-7 “协议 和 端口 ”界面 


根据 要 配置 的 端口 使 用 的 网 络 协议 类 型 选择 TCP 或 UDP， 再 在 “特定 本 地 端口 ”中 
输入 要 开放 的 端口 。 如 要 建立 FTP 服务器， 使 用 的 是 FTP 协议 ， 则 应 选择 “TCP” 类 型 ， 
端口 输入 默认 的 21 端口 ， 或 输入 建立 FTP 服务 器 时 管理 员 指定 的 非 默认 端口 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “操作 ”界面 ， 如 图 14-8 所 示 。 


图 14-8 “操作 ”界面 
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这 里 有 以 下 3 个 选项 。 

e 人 允许 连接 所 有 用 户 均 可 使 用 该 端口 。 

e 只 允许 安全 连接 : 只 允许 特定 用 户 访问 服务 器 ， 即 使 用 IPSec 身份 验证 的 用 户 。 

e 阻止 连接 : 不 允许 任何 通过 该 端口 的 连接 。 

(5) 选中 “允许 连接 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “配置 文件 ”界面 ， 如 
14-9 所 示 。 


图 14-9 “配置 文件 ”界面 


(6) 根据 该 服务 的 服务 对 象 选 择 应 用 规则 的 范围 ， 单 击 “ 下 一 步 ”按钮 ， 进 入 “名 称 ” 
界面 ， 如 图 14-10 所 示 。 


图 14-10 “名 称 ” 界 面 
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(7) 在 “名 称 ” 一 栏 中 输入 该 规则 名 称 和 描述 信息 ， 单 击 “ 完 成 ”按钮 即 可 完成 规则 
设置 , 并 返回 高 级 Windows 防火 墙 配置 界面 。 出 站 规则 设置 方法 与 此 类 似 , 这 里 不 再 獒 述 。 

(8) 现在 即 可 在 配置 界面 中 看 到 刚 添加 的 规则 ， 在 该 规则 上 右 击 ， 在 弹出 的 快捷 菜单 
中 选择 “属性 ”命令 ， 打 开 该 规则 的 “属性 ”对 话 框 ， 如 图 14-11 所 示 。 
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图 14-11 “FTP 端口 属性 ”对 话 框 的 “常规 ”选项 卡 


(9) 在 “常规 ”选项 卡 中 ， 可 以 设置 该 规则 的 名 称 、 描 述 信息 、 是 否 启用 和 人 允许 的 连 
接 的 用 户 范 围 。 
打开 “程序 和 服务 ”选项 卡 ， 如 图 14-12 所 示 。 


| 
党 规 。 程序 和 服务 | 用 户 和 计算 机 | 协议 和 洞 | 作用 城 | 高 级 | 


个 所 有 符合 撒 定 条 社 的 程 取 0) 
个 由 程序: 


mm 加 | 


服务 
| Ei 设置 外) 
了 衣服 的 洋 和 信息 

MN | Dm 


图 14-12 “程序 和 服务 ”选项 卡 


(10) 在 “程序 ”选项 组 中 ， 可 以 选中 “所 有 符合 指定 条 件 的 程序 ” 单 选 按 钮 ， 使 所 有 
程序 都 可 以 使 用 该 规则 ， 也 可 以 选中 “此 程序 ” 单 选 按 钮 ， 指 定 某 个 软件 才能 使 用 该 规则 ; 
在 “服务 ”选项 组 中 可 以 选择 哪些 服务 可 以 使 用 该 规则 ， 默 认为 所 有 服务 均 可 。 

打开 “用 户 和 计算 机 ”选项 卡 ， 如 图 14-13 所 示 。 
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14-13 “用 户 和 计算 机 ”选项 卡 


(11) 只 有 在 “常规 ”选项 卡 中 选中 “只 允许 安全 连接 ” 单 选 按钮 才能 使 用 该 选项 卡 中 
的 选项 ， 可 以 只 允许 特定 他 地 址 的 计算 机 或 以 本 机 特定 用 户 的 身份 使 用 该 规则 。 
打开 “协议 和 端口 ”选项 卡 ， 如 图 14-14 所 示 。 
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图 14-14 “协议 和 端口 ”选项 卡 


(12) 在 该 选项 卡 中 可 以 设置 定义 规则 的 协议 类 型 ， 本 地 端口 和 远程 端口 。 远 程 端口 是 
指 访问 服务 器 的 请 求 是 从 哪个 端口 发 出 的 ， 一 般 设 置 为 “所 有 端口 ”。ICMP 选项 一 般 是 
不 可 用 的 ， 如 果 管 理 员 设 置 的 协议 类 型 为 “TCMP v15”， 则 该 选项 可 用 ， 并 可 以 设置 远程 
计算 机 使 用 ping 命令 尝试 连接 服务 器 时 是 否 给 予 应 答 。 

打开 “作用 域 ”选项 卡 ， 如 图 14-15 所 示 。 
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14-15 “作用 域 ” 选 项 卡 


(13) 作用 域 是 入 站 或 出 站 防火 墙 规则 的 本 地 和 远程 地 址 。 使 用 作用 域 为 规则 指定 代表 
本 地 计算 机 或 远程 计算 机 下 地 址 的 他 地 址 、 范 围 、 子 网 或 关键 字 ( 只 用 于 远程 计算 机 )。 然 
后 ， 该 规则 被 用 于 任何 同时 满足 规则 中 其 他 标准 的 本 地 和 远程 地 址 之 问 的 任何 连接 。 通 过 
该 选项 可 以 选 定 本 机 提供 服务 的 下 地址 和 允许 访问 服务 器 的 计算 机 的 下 地址 。 

打开 “高 级 ”选项 卡 ， 如 图 14-16 所 示 。 
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图 14-16 “高 级 ”选项 卡 


(14) “配置 文件 ”选项 组 用 于 设置 该 规则 的 应 用 范围 ，“ 接 口 类 型 ”选项 组 用 于 配置 
该 规则 应 用 于 什么 样 的 网 络 连 接 ， 有 局 域 网 、 无 线 网 络 、 远 程 访问 和 所 有 类 型 4 种 ， 选 中 
“允许 边缘 遍历 ” 单 选 按 钮 , 将 可 以 不 通过 NAT 或 从 边缘 设备 对 应 用 该 规则 的 应 用 程序 、 
服务 或 端口 进行 全 局 寻 址 和 访问 。 配 置 完成 后 ， 单 击 “ 确 定 ” 按 钮 即 可 完成 规则 属性 修改 
并 使 之 生效 。 
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计算 机 病毒 就 是 利用 计算 机 软件 与 硬件 的 缺陷 ， 由 被 感染 机 内 部 发 出 的 破坏 计算 机 数 
据 并 影响 计算 机 正常 工作 的 一 组 指令 集 或 程序 代码 。 

计算 机 技术 在 近 几 十 年 的 高 速 发 展 ， 也 使 得 计算 机 病毒 技术 越 来 越 先进 ， 病 毒 带 来 的 
损失 也 越 来 越 大 ， 近 些 年 来 已 达到 每 年 损失 上 百 亿 美元 。 

计算 机 病毒 大 多 是 利用 计算 机 软件 的 漏洞 破坏 计算 机 系统 ， 而 且 计 算 机 病毒 有 其 自身 
的 规律 ， 因 此 如 果 管 理 员 可 以 对 计算 机 系统 进行 合理 的 设置 ， 采 取 必 要 的 措施 ， 可 以 减少 
被 计算 机 病毒 攻击 的 机 会 。 

Windows Server 2008 本 身 已 经 是 非常 安全 的 系统 ， 但 仍然 会 受到 病毒 的 侵袭 。 为 了 进 

- 步 提高 系统 的 安全 性 ，Windows Server 2008 内 置 了 数据 执行 保护 功能 (DEP)。 数 据 执行 

保护 功能 最 早出 现 自 Windows XP 的 SP2 更 新 程序 。 该 功能 可 以 监视 内 存 中 的 指定 区 域 ， 
这 些 区 域 是 专 为 系统 文件 而 设 ， 因 此 只 要 发 现 有 程序 访问 这 些 被 保护 的 内 存 空 间 ， 就 认为 
是 恶意 代码 在 运行 ， 然 后 禁止 这 些 代 码 执行 。DEP 不 能 判定 一 个 程序 是 否 为 病毒 ， 但 是 可 
以 禁止 危害 被 保护 内 存 空间 的 程序 运行 。 

Windows Server 2008 作为 一 个 网 络 操作 系统 , 主要 运行 的 是 其 自 带 的 一 些 软件 , 如 IS 
等 ， 很 少 使 用 其 他 软件 ， 因 此 本 身 的 数据 执行 保护 功能 是 被 关闭 的 。 如 要 打开 数据 执行 保 
护 功 能 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 然 后 在 打开 的 对 话 框 中 输入 cmd 命令 (不 含 引号 )， 
按 回 车 键 ， 打 开 命令 提示 符 工 具 ， 输 入 命令 bcdeditexe /set {current} nx AlwaysOn， 然 后 按 
回 车 键 ， 如 图 14-17 所 示 。 


图 14-17 命令 提示 符 工具 界面 


如 果 看 到 提示 “操作 成 功 完成 ”， 则 说 明 数 据 执行 保护 功能 已 经 成 功 打开 。 

由 于 数据 执行 保护 功能 无 法 判断 一 个 程序 是 否 为 病毒 ， 因 此 它 不 能 处 理 所 有 的 病毒 攻 
击 。 为 了 使 系统 更 加 安全 ， 最 好 为 系统 安装 杀毒 软件 ， 本 章节 使 用 微软 公司 开发 的 
MSE(Microsoft Security Essentials) 免 费 杀 毒 软 件 为 例 。 

使 用 杀毒 软件 的 方法 如 下 : 

(1) 从 微软 网 站 下 载 MSE， 双击 下 载 的 软件 ,根据 安装 向 导 提 示 安 装 MSE。 需 要 注意 
的 是 ，MSE 在 安装 过 程 中 要 进行 正版 验证 ， 只 提供 给 正版 软件 用 户 使 用 。 

(2) 安装 完毕 后 ， 计 算 机 会 重新 启动 ,重启 后 MSE 会 自动 进行 病毒 库 的 更 新 并 进行 一 
次 快速 扫描 。 
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(3) 在 桌面 的 通知 区 域 的 MSE 图 标 上 右 击 , 在 
弹出 的 快捷 菜单 中 选择 “打开 ”命令 ， 如 图 14-18 骂人 可 CE 


所 示 。 图 14-18 MSE 托盘 图 标的 右键 快捷 菜单 
(4) 选择 该 命令 后 ， 打 开 MSE 主 界面 ， 如 图 14-19 所 示 。 


图 1419 MSE 主 界面 


(5) 在 “主页 ”选项 卡 中 ， 可 以 对 计算 机 进行 扫描 。MSE 共有 以 下 3 种 扫描 模式 。 

e 快速 : 在 该 模式 下 只 扫描 最 可 能 感染 病毒 的 文件 ， 扫 描 速度 快 、 耗 时 短 , 但 是 可 能 
会 导致 一 些 病毒 扫描 不 出 来 。 这 种 模式 适合 一 般 性 的 病毒 扫描 。 

。 完全 : 在 该 模式 下 MSE 扫描 计算 机 中 所 有 的 文件 ， 能 够 最 大 限度 地 查找 计算 机 中 
被 感染 的 文件 ， 但 是 由 于 扫描 量 大 ， 导 致 速度 慢 、 耗 时 较 长 。 这 种 模式 适合 全 面 对 
计算 机 进行 检查 。 

e 自 定义 : 在 该 模式 下 可 以 由 用 户 选择 对 哪个 分 区 和 文件 夹 进 行 扫描 ， 自 由 度 较 高 ， 
该 模式 适合 于 对 计算 机 能 够 熟练 操作 的 用 户 使 用 。 

选择 好 合适 的 扫描 模式 后 ， 单 击 “ 立 刻 扫描 ”按钮 就 可 以 开始 扫描 计算 机 。 

(6) 打开 “更 新 ”选项 卡 ， 如 图 14-20 所 示 。 
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图 14.20 “更 新 ”选项 卡 
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(7) 单 击 “ 更 新 ”按钮 ，MSE 会 连接 到 微软 网 站 上 升级 病毒 库 ， 以 便 MSE 可 以 查 杀 
最 新 出 现 的 各 种 病毒 和 间谍 软件 。 打 开 “ 历 史记 录 ” 选 项 卡 ， 如 图 14-21 所 示 。 
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图 14-21 


(8) 该 界面 显示 了 所 有 以 往 检 测 到 的 潜在 的 威胁 。 打 开 “ 设 置 ”选项 卡 ， 如 图 14-22 
所 示 。 
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(9) 当前 显示 的 是 “计划 扫描 ”选项 ， 用 于 设置 定时 扫描 。 选 中 “在 我 的 计算 机 上 运 
行 计划 扫描 (推荐 )” 复 选 框 ， 然 后 可 以 在 “扫描 类 型 ”下 拉 列 表 中 选择 扫描 病毒 的 扫描 类 
型 ; 在 “每 周 ” 下 拉 列 表 中 选择 每 周 中 哪 一 天 进行 病毒 扫描 ; 在 “时 间 ” 下 拉 列 表 中 选择 
扫描 的 时 间 。 其 余 选 项 保持 默认 设置 ， 然 后 单 击 “保存 更 改 ” 按 钮 保存 扫描 计划 。 单 击 左 
侧 窗 口中 的 “默认 操作 ”， 打 开 “ 默 认 操 作 ” 设 置 界面 ， 如 图 14-23 所 示 。 
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图 14-23 “默认 操作 ”设置 界面 
(10) 在 该 界面 中 ，MSE 将 有 潜在 危害 的 文件 分 为 4 个 等 级 : 严重 警报 级 别 、 高 警告 
级 别 、 中 警告 级 别 、 低 警报 级 别 。 对 于 有 潜在 危害 的 文件 ， 可 以 有 两 种 操作 : 删除 和 隔离 。 
如 果 选 择 删除 操作 ， 发 现 了 有 危害 的 文件 ， 直 接 删 除 掉 ， 如 果 选 择 隔离 操作 ， 有 潜在 危害 
的 文件 会 被 移动 到 一 个 指定 区 域 ， 正 常情 况 下 用 户 将 无 法 访问 ， 以 等 待 下 一 步 处 理 。 设 置 
完毕 后 单 击 “保存 更 改 ” 按 钮 完成 设置 。 单 击 左 侧 窗 口中 的 “实时 保护 ”， 打 开 “ 实 时 保 
护 ”设置 界面 ， 如 图 14-24 所 示 。 
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图 14-24 


“实时 保护 ”设置 界面 
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(11) “实时 保护 ”用 于 设置 对 哪些 文件 和 行为 进行 监控 ， 以 便 出 现 问题 后 立刻 可 以 发 


现 和 处 理 。 


(12) 左 侧 窗口 中 的 “排除 的 文件 和 位 置 ”、“ 排 除 的 文件 类 型 ”和 “排除 的 进程 ”3 
项 用 于 设置 在 监控 和 扫描 过 程 中 ， 哪 些 位 置 的 文件 、 哪 些 类 型 的 文件 和 哪些 可 执行 文件 不 
被 扫描 和 监控 。 这 样 做 可 以 提高 扫描 速度 ， 如 果 对 计算 机 操作 不 够 熟悉 ， 不 要 设置 这 些 


选项 。 


(13) 单 击 左 侧 窗口 中 的 “高 级 ”， 打 开 “ 高 级 ”设置 界面 ， 如 图 14-25 所 示 。 
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(14) 各 选项 含义 如 下 。 
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图 14-25 


。 扫描 存档 文件 : 扫描 压缩 文件 包 以 查找 被 压缩 的 文件 中 是 否 包含 病毒 。 
。 扫描 可 移动 驱动 器 : 当 使 用 完全 扫描 模式 时 ， 如 果 连 接 有 可 移动 驱动 器 ， 如 优盘 、 
移动 硬盘 等 ， 也 一 同 扫描 。 


e 创建 系统 还 


点 : 在 删除 有 和 危害 的 文件 之 前 ， 先 创建 一 个 系统 还 原点 以 便 还 原 。 


e 允许 所 有 用 户 查 看 完整 的 历史 记录 结果 : 允许 本 机 上 管理 员 和 非 管理 员 帐 户 查看 
“历史 记录 ”选项 卡 中 的 历史 检测 记录 。 

e 在 以 下 时 间 后 删除 隔离 文件 : 一 些 文件 如 果 被 认为 是 有 潜在 危害 的 ， 可 以 选择 将 其 
隔离 起 来 ,但 是 这 样 会 占用 一 些 磁盘 空间 。 可 以 选择 定时 删除 这 些 隔 离 文 件 以 释放 


磁盘 空间 。 


更 改 设置 后 ， 单 击 “ 保 存 更 改 ” 按 钮 以 保存 设置 。 
(15) 单 击 左 侧 窗 口中 的 Microsoft SpyNet, 打开 Microsoft SpyNet 设置 界面 , 如 图 14-26 


所 示 。 
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图 14.26 “Microsoft SpyNet” 设 置 界 面 


(16) Microsoft SpyNet 是 一 个 连接 社区 , 可 以 接收 来 自用 户 提供 的 信息 , 通过 分 析 这 些 
信息 ， 可 以 为 用 户 提供 最 新 的 病毒 库 和 处 理 意见 。 各 选项 含义 如 下 。 


我 不 想 加 入 SpyNet: 不 向 外 界 发 送 任何 信息 ， 但 也 无 法 接收 任何 信息 。 
基本 成 员 身份 ，Security Essentials 向 Microsoft 发 送 有 关 Security Essentials 检测 
到 的 软件 的 基本 信息 ， 包 括 软件 来 源 、 用 户 的 操作 或 Security Essentials 自动 应 用 
的 操作 以 及 这 些 操作 是 否 成 功 执行 。 

高 级 成 员 身份 : 除 基 本 信息 外 ，Security Essentials 还 会 向 Microsoft 发 送 有 关 恶意 
软件 、 间 谍 软 件 和 可 能 不 需要 的 软件 的 更 多 信息 ， 包 括 软件 位 置 、 文 件 名 、 软 件 操 
作 方 式 以 及 软件 影响 计算 机 的 方式 。 


在 默认 状态 下 ， 用 户 以 “基本 成 员 资格 ”加 入 Microsoft SpyNet 社区 ， 如 果 不 确定 哪 
种 方式 更 好 ， 可 以 保持 默认 设置 。 

但 是 , 由 于 目前 杀毒 软件 的 技术 还 不 能 查 杀 未 知 病毒 , 只 能 从 已 知 病毒 中 提取 特征 码 ， 
然后 杀毒 软件 从 网 上 获取 这 些 特征 码 ， 这 样 杀 毒 软件 才 可 以 根据 特征 码 查 杀 病 毒 。 虽 然 目 
前 许多 杀毒 软件 公司 也 在 开发 一 些 新 的 技术 ， 以 应 对 新 出 现 的 病毒 甚至 是 未 知 的 病毒 ， 但 
是 这 些 技术 都 存在 各 种 问题 而 达 不 到 实用 程度 ， 因 此 特征 码 查 杀 仍 是 目前 杀毒 软件 使 用 的 
主要 手段 。 由 于 技术 原因 ， 即 使 计算 机 上 安装 了 杀毒 软件 ， 如 果 出 现 了 新 病毒 ， 或 者 病毒 
库 更 新 不 及 时 ， 都 会 导致 无 法 处 理 某 些 病毒 的 侵袭 。 因 此 ， 管 理 员 不 仅 要 做 好 杀毒 软件 的 
及 时 更 新 ， 还 要 养 成 一 些 良 好 的 习惯 : 


认真 设置 NTFS 权限 ， 不 要 让 无 关 用 户 尤其 是 EveryOne 用 户 获得 过 高 的 权限 。 

不 要 使 用 未 经 验证 的 软件 。 

不 要 随意 使 用 移动 存储 设备 ， 如果 一 定 要 使 用 移动 存储 设备 ， 一 定 要 在 安全 的 主机 
上 查 杀 病毒 后 再 在 服务 器 上 使 用 。 

尽量 不 要 使 用 服务 器 上 网 或 下 载 文件 。 

认真 设置 防火 墙 ， 这 样 即使 被 病毒 侵袭 也 能 阻止 进一步 感染 或 信息 被 泄露 。 
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e 设置 杀毒 软件 为 自动 更 新 ， 最 好 是 每 天 更 新 至 少 一 次 ， 并 根据 情况 及 时 手动 更 新 ， 
以 及 定期 全 盘 杀 毒 。 
如 果 有 和 良好 的 使 用 习惯 ， 再 配合 杀毒 软件 ， 可 以 大 大 减少 被 病毒 侵袭 。 


14.4 ” 防 问 谍 配 置 


间谍 软件 是 一 种 能 够 在 用 户 不 知情 的 情况 下 ,在 其 计算 机 上 安装 后 门 、 收 集 用 户 信息 的 
软件 。 它 能 够 削弱 用 户 对 其 使 用 经 验 、 隐 私 和 系统 安全 的 物质 控制 能 力 ; 使 用 用 户 的 系统 资 
源 ， 包 括 安装 的 程序 ， 或 者 搜集 、 使 用 、 并 散播 用 户 的 个 人 信息 或 敏感 信息 。 

“间谍 软件 ”应 该 说 是 一 个 灰色 区 域 ， 所 以 并 没有 一 个 明确 的 定义 。 然 而 ， 正 如 同名 
字 所 描述 的 一 样 ， 它 通常 被 泛泛 地 定义 为 从 计算 机 上 搜集 信息 ， 并 在 未 得 到 该 计算 机 用 户 
许可 时 便 将 信息 传递 到 第 三 方 的 软件 , 包括 监视 击 键 、 搜 集 机 密 信 息 (密码 、 信 用 卡号 、PIN 
码 等 )、 获 取 电 子 邮 件 地 址 、 跟 踪 浏 览 习 惯 等 。 间 谍 软 件 还 有 一 个 副作用 ， 在 其 影响 下 这 些 
行为 不 可 避免 的 会 影响 网 络 性 能 ， 降 低 系统 速度 ， 进 而 影响 整个 系统 。 

间谍 软件 之 所 以 成 为 灰色 区 域 ， 主 要 因为 它 是 一 个 包罗 万 象 的 术语 ， 包 括 很 多 与 恶意 
程序 相关 的 程序 ， 而 不 是 一 个 特定 的 类 别 。 大 多 数 间谍 软件 的 定义 不 仅 涉 及 广告 软件 、 色 
情 软件 和 风险 软件 程序 , 还 包括 许多 木马 程序 , 如 Backdoor Trojans, Trojan Proxies 和 PSW 
Trojans 等 。 这 些 程序 早 在 10 年 前 第 一 个 AOL 密码 盗 取 程序 出 现时 就 已 经 存在 ， 只 是 当时 
还 没有 “间谍 软件 ”这 个 术语 。 

间谍 软件 的 另外 一 个 附属 品 就 是 广告 软件 。 此 时 ， 间 谍 软 件 以 恶意 后 门 程序 的 形式 存 
在 ， 该 程序 可 以 打开 端口 、 启 动 FTP 服务 器 、 或 者 搜集 击 键 信息 并 将 信息 反馈 给 攻击 者 。 
间谍 软件 可 以 存在 于 合法 的 (并 可 接受 的 ) 商 业 应 用 程序 中 ， 可 以 给 网 络 管理 员 在 影响 和 监 
视 系统 方面 很 大 的 权力 。 

尽管 这 些 程序 并 非 很 新 ， 但 近年 来 有 恶意 目的 的 程序 却 不 断 增加 ， 引 起 媒体 和 反 间 恋 
软件 开发 商 的 很 大 关注 。 

虽然 Windows Server 2008 是 网 络 操作 系统 , 被 间谍 软件 侵袭 的 机 会 不 多 , 但 是 一 旦 服 
务 器 被 侵袭 ， 危 害 将 是 非常 大 的 。 因 此 服务 器 也 要 非常 重视 防 间谍 软件 。 

有 不 少 杀 毒 软件 也 可 以 查 杀 间谍 软件 ， 但 是 许多 间谍 软件 仅仅 是 较 轻 地 危害 计算 机 系 
统 ， 给 用 户 带 来 了 一 定 的 损失 ， 但 是 达 不 到 病毒 的 危害 程度 ， 因 此 很 多 杀毒 软件 对 间谍 软 
件 检 测 不 很 严格 ， 会 放 过 一 些 间 谍 软 件 。 因 此 安装 专用 的 反 间 谍 软 件 还 是 很 有 必要 的 。 

微软 公司 为 自己 的 Windows 系统 开发 了 恶意 软件 删除 工具 。 该 工具 可 以 在 一 定 程度 上 
保护 系统 不 受 间谍 软件 的 侵害 。 具 体 使 用 方法 如 下 : 

(1) 微软 恶意 软件 删除 工具 是 作为 补丁 程序 在 Windows Update 上 发 布 的 ， 因 此 只 要 打 
开 自 动 更 新 功能 ， 系 统 就 会 自动 安装 该 工具 。 

(2) 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 mrt 命令 (不 含 引 
号 )， 然 后 单 击 “ 确 定 ”按钮 ， 打 开 微软 恶意 软件 删除 工具 ， 如 图 14-27 所 示 。 
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图 14-27 微软 恶意 软件 删除 工具 启动 界面 图 14-28 “扫描 类 型 ”选择 界面 


(4) 在 该 界面 可 以 选择 扫描 的 类 型 ， 共 有 “快速 扫描 ”、“ 完 全 扫描 ”和 “ 自 定义 扫 
描 ”3 种 模式 ， 根 据 需 要 选择 合适 的 模式 后 ， 单 击 “ 下 一 步 ”按钮 开始 扫描 ， 如 图 14-29 
所 示 。 


三] 


图 14-29 扫描 界面 
(5) 扫描 完毕 后 ， 显 示 扫 描 结 果 ， 如 图 14-30 所 示 。 如 果 没 有 任何 有 和 危害 的 文件 , 单 


图 14-30 ”扫描 结果 报告 界面 
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微软 恶意 软件 删除 工具 使 用 简单 ， 但 是 更 新 不 及 时 ， 在 效率 上 不 及 更 加 专业 的 防 间谍 
软件 。 

SuperAntiSpyware 是 一 款 优秀 的 防 间谍 软件 , 受到 广大 专家 和 用 户 的 好 评 。 SuperAntiSpywar 
还 开发 有 免费 版 本 ， 方 便 个 人 用 户 的 使 用 。SuperAntiSpywar 的 安装 和 使 用 方法 如 下 : 

(1) 从 网 上 下 载 SuperAntiSpyware 的 安装 文件 ， 然 后 双击 该 文件 并 按照 安装 向 导 提示 
进行 安装 。 需 要 注意 的 是 ， 该 软件 的 软件 安装 界面 为 英文 ， 在 安装 结束 的 时 候 可 以 选择 使 
用 时 软件 界面 采用 的 语言 ， 如 图 14-31 所 示 。 
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图 14-31 安装 启动 界面 


(2) 在 Language 下 拉 列 表 中 选择 Chinese Simplified(GB)。 其 余 的 操作 请 按照 向 导 提 示 
进行 。 完 成 安装 后 ， 第 一 次 启动 SuperAntiSpyware 时 ， 软 件 会 自动 联网 进行 升级 ， 但 是 此 
时 软件 界面 仍 是 英文 ， 如 图 14-32 所 示 。 
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图 14-32 软件 主 界面 
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(3) 单 击 界面 中 的 Preference 按钮 ， 打 开 Scanning and Program Preferences 界 [f 
中 的 Language 下 拉 列 表 中 选择 Chinese Simplified(GB) 选 项 ， 如 图 14-33 所 示 。 
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图 14-33 Scanning and Program Preferences 界面 
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图 14-34 软件 中 文 主 界面 


面 ， 在 其 


(4) 选择 完 后 ， 软 件 界面 将 转换 为 简体 中 文 界面 ， 单 击 Home 按钮 返回 主 界面 ， 如 图 
14-34 所 示 。 
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(5) 由 于 是 免费 版 本 ， 因 此 “实时 保护 ”、Scheduled Scanning( 计 划 扫描 ) 和 Automatic 
Updates( 自 动 升级 )3 个 功能 不 能 使 用 , 如 果 想 使 用 这 些 功 能 , 单 击 Click here to upgrade now 
选项 将 软件 升级 到 专业 版 。 

(6) 单 击 Check for Update 按钮 , 打开 升级 对 话 框 ,如 图 14-35 所 示 。 这 时 SuperAntiSpyware 
可 以 连接 到 网 站 进行 升级 一 边 查 杀 最 新 的 间谍 软件 。 升 级 完毕 后 ， 单 击 “ 完 成 ”按钮 关闭 
升级 对 话 框 。 
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图 14-35 升级 对 话 框 


(7) 软件 界面 上 方 是 扫描 选项 , SuperAntiSpyware 有 Quick Scan( 快 速 扫描 )、 Critical Point 
Scan( 关 键 点 扫描 )、Complete Scan( 完 全 扫描 ) 和 Custom Scan( 自 定义 扫描 )4 种 模式 , 根据 需 
要 选择 合适 的 模式 ， 单 击 “ 扫 描 您 的 电脑 ”按钮 ， 开 始 对 系统 进行 扫描 。 扫 描 完毕 后 ， 如 
果 有 间谍 软件 则 列 出 找到 的 间谍 软件 ,如 果 没有 任何 问题 ,弹出 扫描 汇总 对 话 框 , 如 图 14-36 
所 示 。 单 击 OK 按钮 返回 主 界面 。 
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图 14-36 扫描 汇总 对 话 框 


(8) 单 击 界面 中 的 Preference 按钮 , 打开 Scanning and Program Preferences 界面 , 在 “党 
规 选项 和 启动 选项 ”选项 卡 中 可 以 设置 启动 系统 时 和 启动 软件 时 可 以 执行 的 操作 ， 如 图 
14-37 所 示 。 


“392 。 Windows Server 2008 系统 管理 


本 
Sconming and Pioaram Prcleremrs 
六 和 st 六 而 | 反手 近 他 | 和 时 作 护 | 的 持 全 护 | 更 新 | 剖 助 | 
Goneral 
ered pregan epsons diong crip re or mate 


开 嫩 快 至 扫 扯 
厅 使 用 Wndonszp 风 术 肝 单 MN 
FA 个 开始 自 达 所 扣 
厂 Daoe Svap Eaderounds 2 
启 : 坟 扫 授 前 六 查 升 经 
ES 5 
为 说 六 所 疗 计 计生 默认 语言 各 向 程序 这 需 为 稿 认 次 遍 
[cnrese SronedE) 习 重读 本 序 适 页 
| 


图 14-37 “常规 选项 和 启动 选项 ”选项 卡 


(9) 打开 “扫描 控制 ”选项 卡 ， 如 图 14-38 所 示 。 在 该 选项 卡 中 ， 可 以 设置 软件 扫描 
过 程 中 可 以 使 用 的 模式 和 要 扫描 的 文件 类 型 。 
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图 14-38 “扫描 控制 ”选项 卡 


(10) 打开 “劫持 保护 ”选项 卡 ， 如 图 14-39 所 示 。 在 该 选项 卡 中 可 以 设置 对 正 浏览 器 
进行 保护 。 
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14-39 “支持 保护 ”选项 卡 
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(11) 设置 完毕 后 ， 单 击 Home 按钮 返回 主 界面 。 单 击 主 界面 上 的 “修复 ”按钮 ， 打 开 
“修复 ”界面 ， 如 图 14-40 所 示 。 
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图 14-40 “修复 ”界面 


(12) 如 果 系 统 的 某 些 设置 被 算 改 ， 可 以 利用 修复 功能 进行 修复 。 选 中 需 修复 项 目前 面 
的 复 选 框 ， 然 后 单 击 Repair Selected Item 按钮 ， 对 所 选项 目 进行 修复 。 
通过 这 些 软件 的 保护 ， 可 以 大 大 降低 系统 被 间谍 软件 侵袭 的 机 会 。 


14.5 本 章 小 结 


本 章 介 绍 了 提高 Windows Server 2008 系统 安全 性 的 一 般 方法 ,所 有 的 操作 系统 都 不 可 
避免 地 出 现 Bug， 也 都 存在 被 攻击 的 可 能 性 ， 但 是 管理 员 可 以 通过 打 补 丁 、 配 置 防火 墙 、 
安装 防 病毒 软件 等 方法 提高 自身 安全 性 ， 降 低 被 攻击 的 概率 。 

(1) Windows Server 2008 更 新 : 本 节 介绍 了 常见 漏洞 的 类 型 和 修复 漏洞 的 方法 。 

(2) Windows Server 2008 防火 墙 配置 : 本 节 介 绍 了 Windows Server 2008 中 高 级 防火 墙 
的 使 用 ， 在 高 级 防火 墙 中 ， 管 理 员 可 以 定义 更 加 详细 的 规则 ， 从 应 用 程序 到 端口 都 可 以 进 
行 设置 。 设 置 合适 的 防火 墙 规则 是 保证 系统 安全 的 一 个 重要 环节 。 

(3) Windows Server 2008 防 病毒 配置 : 本 节 介绍 了 微软 公司 的 杀毒 软件 MSE， 管 理 员 
可 以 使 用 MSE， 最 大 限度 地 保护 系统 不 被 病毒 侵袭 。 但 是 防 病毒 软件 不 是 万 能 的 ， 需 要 配 
合 其 他 安全 设置 才能 发 挥 最 大 作用 。 

(4) Windows Server 2008 防 间 谍 配 置 : 本 节 介绍 了 两 款 防 间谍 软件 ， 通 过 这 两 款 软件 
或 类 似 功能 的 软件 ， 管 理 员 可 以 保护 系统 不 被 间谍 软件 侵袭 ， 保 护 隐 私信 息 不 被 泄露 。 
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14.6 思考 与 练习 


【思考 题 】 
1. 操作 系统 漏洞 带 来 的 危害 是 否 可 以 避免 ? 为 什么 ? 
2. Windows Server 2008 中 的 高 级 防火 墙 有 什么 特点 ? 
3. Windows Server 2008 中 的 数据 执行 保护 功能 和 防 病毒 软件 有 何 异 同 之 处 ? 
4. 病毒 和 间谍 软件 有 何 区 别 ? 


【练习 题 】 

1. 如 何 实现 Windows 系统 的 手动 更 新 ? 

2. 怎么 实现 服务 器 的 自动 升级 更 新 ? 

3. 如 何在 高 级 防火 墙 中 关闭 一 个 指定 端口 ? 
4. 防 病毒 软件 有 何不 足 之 处 ? 
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【本 章 导读 】 
本 章 将 构建 一 个 功能 较 齐 全 的 网 络 应 用 系统 , 以 巩固 前 面 介 绍 的 主要 Windows Server 2008 
技术 。 


15.1 ”网络 结构 设计 与 联接 


15.1.1 网 络 拓扑 结构 设计 


如 图 15-1 所 示 的 是 一 个 中 小 型 的 计算 机 网 络 , 能 提供 常用 的 所 有 功能 , 通过 扩充 拓扑 
结构 ， 可 演变 为 更 大 、 更 小 的 网 络 规模 。 


122315104 
cy20l011 有 这 全 


IP:125 219 48.9/24 


IP125219481 — GW-12521948.1 


代理 服务 器 
CProxyServer) 


IP:192 168 89 204124 
DNS:192168 89 203 


CPCA) 文件 服务 器 ws 服务器。 DHCP 服务 器 。。 We 服务 器 
ey 证 书 服务 器 FTP 服务 器 。。 Di 最 务 器 。。 邮件 服务 器 
城 控制 久 共 纺 服务 器 尖刀 什 服务 器 
肌 和 pa mi Dosom) CwfDceom) (dpceom) CwfDceom) 
全 自动 区 覃 全 自动 区 得 a TP.192.16889 20204 IP-192.168 89 203024 1p:192.168.89 200/ 
DNS: 自 动 区 得 DNS: 自 动作 得 GWI9216829204 。 GY7192.168.89 204 GW.192.168.89.204 GW:192.168.89204 


图 15-1 综合 应 用 案例 采用 的 网 络 拓扑 


路 由 器 以 上 为 代表 外 网 的 Intemet， 以 下 为 内 部 网 络 ， 内 部 网 络 通过 路 由 器 接 入 外 网 。 
在 内 部 网 络 中 ， 有 若干 台 客 户 端 主机 和 专用 的 服务 器 主机 。 客 户 端 主机 通过 二 层 交 换 机 、 
三 层 交 换 机 、 代 理 服务 器 和 路 由 器 访问 外 网 ， 不 允许 外 网 访问 内 网 中 的 任何 主机 。 
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15.1.2 网络 连接 


首先 进行 硬件 连接 ， 然 后 配置 网 络 设备 ， 以 实现 网 络 连接 。 

1. 网 络 连 接 

外 网 、 代 理 服 务 器 、 三 层 交 换 机 之 间 可 采用 光纤 连接 ， 也 可 用 五 类 双 绞 线 连 接 ; 二 层 
交换 机 、 三 层 交 换 机 及 其 他 设备 之 间 采 用 五 类 双 绞 线 连 接 。 三 层 交 换 机 也 可 用 二 层 交 换 机 
代替 。 

台 PC 客户 机 也 可 以 用 一 台 代替 。 若 服务 器 主机 的 性 能 足够 高 ， 也 可 以 将 服务 器 集 

中 到 更 少 的 主机 上 实现 。 

2. 配置 网 络 设备 

路 由 器 、 客 户 端 主机 、 服 务 器 主机 的 人 P 地 址 等 网 络 参数 进行 配置 和 测试 ， 确 保 它们 之 
间 的 链 路 能 够 互联 互通 。 


15.2 主机 系统 配置 


15.2.1 客户 端 主机 的 系统 配置 


客户 端 主机 可 安装 任何 版 本 的 网 络 操作 系统 。 推 荐 采用 不 同 于 Windows Server 2008 
的 操作 系统 ， 如 Linux、Windows XP 等 。 


15.2.2 ”服务 器 主机 的 系统 配置 


代理 服务 器 安装 Windows Server 2008 操作 系统 , 不 加 入 域 ; 各 服务 器 均 安 装 Windows 
Server 2008 操作 系统 ， 均 加 入 域 。 具 体 配置 如 下 。 


1. 域 控制 器 的 配置 


(1) 主机 NetBIOS 名 : domainl; 

(2) 域名 : DC.com; 

(3) 主机 域名 : domain1.DC.com: 

(4) 活动 目录 的 安装 、 域 控制 器 的 配置 ， 方 法 详 见 第 1 章 、 第 5 章 ; 
(5) 域 控制 器 的 测试 : 设置 客户 端 主机 PCA 的 他 地 址 如 下 。 

©@® IP: 192.168.89.100; 

@@ 子 网 掩 码 : 255.255.255.0; 
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@ 网 关 : 无 ; 

@ DNS: 192.168.89.203; 

(6) 参考 第 5 章 ， 将 客户 端 主机 PCA 加 入 域 DC.com， 若 成 功 地 登录 域 控制 器 ， 说 明 
域 控制 器 配置 成 功 。 


2. 证 书 服务 器 的 配置 


(1) 主机 NetBIOS 名 : domainl; 

(2) 域名 : DC.com: 

(3) 主机 域名 : domain1.DC.com: 

(4) 证 书 服务 器 的 安装 、 配 置 (方法 详 见 第 6 章 ); 

(5) 证 书 服务 器 的 测试 : 设置 客户 端 主机 PCB 的 下 地 址 如 下 。 

© IP: 192.168.89.101; 

@ 子 网 掩 码 : 255.255.255.0; 

@ 网 关 : 无 ; 

@ DNS: 192.168.89.203; 

(6) 参考 第 6 章 ，PCA 和 PCB 分 别 向 证 书 服务 器 申请 证 书 、 安 装 证 书 ， 并 通过 验证 证 
书 互相 访问 ， 若 访问 成 功 ， 说 明证 书 服务 器 配置 基本 成 功 ， 待 到 配置 成 功 Web 服务 器 后 ， 
Web 服务 器 向 证 书 服务 器 申请 证 书 、 安 装 证 书 ，PCA 能 够 通过 HTTPS 协议 访问 Web 服务 
器 ， 说 明证 书 服务 器 配置 完全 成 功 。 


3. 文件 服务 器 的 配置 


(1) 主机 NetBIOS 名 : domainl; 

(2) 域名 : DC.com: 

(3) 主机 域名 : domain1.DC.com: 

(4) 文件 服务 器 的 安装 、 配 置 (方法 详 见 第 2 章 ); 

(5) 文件 服务 器 的 测试 : 参考 第 2 章 ， 将 文件 服务 器 上 不 同文 件 夹 的 不 同 访问 权限 授 
权 给 两 名 客户 端 主机 用 户 ， 两 名 用 户 录 入 自己 的 域 帐 号 登录 文件 服务 器 并 在 授权 范围 内 访 
问 文件 夹 内 资源 ， 然 后 再 试图 越权 访问 资源 ， 若 能 且 只 能 在 授权 范围 内 访问 资源 ， 说 明文 
件 服 务 器 配置 成 功 。 

4. WSS 服务 器 的 配置 


(1) 主机 NetBIOS 名 : wft; 

(2) 域名 : DC.com:; 

(3) 主机 域名 : wft.DC.com; 

(4) WSS 服务 器 的 安装 、 配 置 (方法 详 见 第 1 章 、 第 3 章 ); 

(5) WSS 服务 器 的 测试 : 参考 第 3 章 , 两 名 客户 端 主 机 用 户 访问 WSS 站 点 共享 的 资源 ， 
若 能 在 授权 范围 内 访问 资源 ， 说 明 WSS 服务 器 配置 成 功 。 
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5. FTP 服务 器 的 配置 


(1) 主机 NetBIOS 名 : wft; 

(2) 域名 : DC.com; 

(G3) 主机 域名 : wft.DC.com; 

(4) FTP 服务 器 的 安装 、 配 置 (方法 详 见 第 9 章 ); 

(5) FTP 服务 器 的 测试 : 参考 第 9 章 ， 两 名 客户 端 主机 用 户 访问 FTP 服务 器 的 资源 ， 
若 能 在 授权 范围 内 访问 资源 ， 说 明 FTP 服务 器 配置 成 功 。 

6. 终端 服务 器 的 配置 


(1) 主机 NetBIOS 名 : wft; 

(2) 域名 : DC.com:; 

(3) 主机 域名 : wft.DC.com; 

(4) 终端 服务 器 的 安装 、 配 置 (方法 详 见 第 12 章 ); 

(5) 终端 服务 器 的 测试 : 参考 第 12 章 ， 一 名 客户 端 主机 用 户 访问 终端 服务 器 的 资源 ， 
若 能 在 授权 范围 内 访问 资源 ， 说 明 终端 服务 器 配置 成 功 。 

7. Web 服务 器 的 配置 


(1) 主机 NetBIOS 名 : wef; 

(2) 域名 : DC.com: 

(3) 主机 域名 : wef.DC.com: 

(4) Web 服务 器 的 安装 、 配 置 (方法 详 见 第 1 章 、 第 8 章 ); 

(5) Web 服务 器 的 测试 :参考 第 8 章 , 一 名 客户 端 主机 用 户 通过 正 浏览 器 和 “http://192. 
168.89.200” 访 问 Web 服务 器 ， 若 能 访问 Web 服务 器 上 存放 的 网 页 ， 说 明 Web 服务 器 配 


置 成 功 。 


8. DNS 服务 器 的 配置 


(1) 主机 NetBIOS 名 : dd; 

(2) 域名 : DC.com; 

(3) 主机 域名 : dd.DC.com: 

(4) DNS 服务 器 的 安装 、 配 置 (方法 详 见 第 1 章 、 第 4 章 ); 

(5) DNS 服务 器 的 测试 : 参考 第 8 章 ， 将 “wefDC.com” 配 置 到 主机 头 ， 参 考 第 4 章 ， 
对 该 主机 头 进 行 正 向 和 逆向 解析 ， 一 名 客户 端 主机 用 户 通过 正 浏览 器 和 “http://192.168. 


89.200” 访 问 Web 服务 器 ， 若 能 访问 Web 服务 器 上 存放 的 网 页 ， 并 且 在 DOS 系统 下 执行 
说 明 Web 命令 “ping 192.168.89.200” 能 看 到 主机 头 “wefDC.com”， 说 明 DNS 服务 器 配 
置 成 功 。 


9. DHCP 服务 器 的 配置 
(1) 主机 NetBIOS 名 : dd; 
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(2) 域名 : DC.com: 

(3) 主机 域名 : ddDC.com; 

(4) 地 址 池 : 192.168.89.1-192.168.89.199; 

(5) 自动 分 配 : 其 他 服务 器 的 下 地 址 ; 

(6) DHCP 服务 器 的 安装 、 配 置 (方法 详 见 第 7 章 ); 

(7) DHCP 服务 器 的 测试 : 将 客户 端 主机 PCA 和 PCB 的 他 地 址 和 DNS 地 址 恢复 成 自 
动 获得 ， 参 考 第 7 章 ， 若 主机 PCA 能 访问 以 上 任 一 服务 器 ,说 明 DHCP 服务 器 配置 成 功 。 


10. 邮件 服务 器 的 配置 


(1) 主机 NetBIOS 名 : wef; 

(2) 域名 : DC.com: 

(3) 主机 域名 : wef.DC.com; 

(4) 邮件 服务 器 的 安装 、 配 置 (方法 详 见 第 10 章 ); 

(5) 邮件 服务 器 的 测试 : 参考 第 10 章 ， 若 主机 PCA 能 访问 以 上 邮件 服务 器 ， 说 明 邮 
件 服务 器 配置 成 功 。 


11. 流 媒 体 服 务 器 的 配置 


(1) 主机 NetBIOS 名 : wef; 

(2) 域名 : DC.com: 

(3) 主机 域名 : wef.DC.com; 

(4) 流 媒 体 服务 器 的 安装 、 配 置 (方法 详 见 第 11 章 ); 

(5) 流 媒体 服务 器 的 测试 ， 参考 第 11 章 ， 若 主机 PCA 能 访问 流 媒体 服务 器 存放 的 授 
权 资 源 ， 说 明 流 媒体 服务 器 配置 成 功 。 

12. 代理 服务 器 的 配置 


(1) 主机 NetBIOS 名 : ProxyServer; 

(2) 域名 : DC.com: 

(3) 主机 域名 : wef.DC.com:; 

(4) 代理 服务 器 的 安装 、 配 置 、 防 间谍 和 防 病毒 配置 (方法 详 见 第 1 章 、 第 13 章 、 第 
14 章 ); 

(5) 代理 服务 器 的 测试 : 参考 第 13 章 、 第 14 章 ， 若 主机 PCA 能 访问 外 网 的 资源 ， 说 
明代 理 服务 器 配置 成 功 。 


15.3 ”本章 小 结 


本 章 主要 介绍 了 多 种 主流 Windows Server 2008 服务 器 的 安装 、 配置 和 测试 的 方法 , 这 
对 于 巩固 读者 对 Windows Server 2008 知识 的 理解 和 操作 技能 的 运用 起 到 明显 的 作用 。 
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15.4 思考 与 练习 


【思考 题 】 
1. 网 络 连接 分 为 几 步 完成 ? 
2. 测试 证 书 服务 器 为 什么 分 两 步 ? 


【练习 题 】 
如 何 测试 DNS 服务 器 ? (参考 15.2.3 节 .8) 
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